PS Guard und die Folgen

#16 Jayjay75

du sollst abkopieren (das meine ich mit "posten", was im Texteditor erscheint-->hier ins Forum (das ist dein "Thread"
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabina!

Schon taucht das nächste Problem auf. Ich kann escan nicht downloaden. Ständig kommt die Meldung: Download fehlgeschlagen. KAVUpd.exe nicht vorhanden.

Was hat es denn eigentlich mit der wininet.dll genau auf sich?

Alles Gute.

#18 Jayjay75

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
Oeffne smitRem folder, Doppelklick: RunThis.bat

warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Zitat

du sollst abkopieren (das meine ich mit "posten", was im Texteditor erscheint-->hier ins Forum (das ist dein "Thread

__________
MfG Sabina

rund um die PC-Sicherheit

#19

Zitat

Hi Sabina, glaub ich habs geschafft. Bitte Logfile nochmal anschauen...

Logfile of HijackThis v1.99.1
Scan saved at 10:18:41, on 13.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\media\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Zusätzliche Software-CD.lnk = D:\setup.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {699CA24C-9CC5-4BD0-AE70-756A44DC2FA7} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank schon mal im Voraus.

GrußJayjay

__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo@Jayjay75

Das Log sieht gut aus

Download Ewido -->poste mir das Log vom Scan, bitte
http://virus-protect.org/antivirenfree.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hi Sabina hoffe ich hab s richtig gemacht...

Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run TOSCDSPD C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run IgfxTray C:\WINDOWS\system32\igfxtray.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run HotKeysCmds C:\WINDOWS\system32\hkcmd.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Apoint C:\Programme\Apoint2K\Apoint.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run PadTouch C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run AGRSMMSG AGRSMMSG.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run CeEKEY C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TPNF C:\Programme\TOSHIBA\TouchPad\TPTray.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Tvs C:\Programme\TOSHIBA\Tvs\TvsTray.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Zooming ZoomingHook.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run SmoothView C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run HWSetup C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NDSTray.exe NDSTray.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run dla C:\WINDOWS\system32\dla\tfswctrl.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TOSHIBA Accessibility C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TPSMain TPSMain.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TCtryIOHook TCtrlIOHook.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TFncKy TFncKy.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run SVPWUTIL C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k


Top

Registry - Shell Spawning
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINDOWS\system32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*


Top

Registry - Active Setup
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath C:\WINDOWS\inf\unregmp2.exe /ShowWMP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c} StubPath %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a} StubPath %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED} StubPath %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340} StubPath regsvr32.exe /s /n /i:U shell32.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath %SystemRoot%\system32\ie4uinit.exe
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820} StubPath C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install


Top

Registry - Virtuelle Gerätetreiber (VxD)
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt


Top

Registry - ICQ Net
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt


Top

Autostart - Standardeinträge
Pfad Dateiname Link zu
C:\Dokumente und Einstellungen\media\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\media\Startmenü\Programme\Autostart\ HotSync Manager.lnk C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ RAMASST.lnk C:\WINDOWS\system32\RAMASST.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Zusätzliche Software-CD.lnk D:\setup.exe


Top

INI Dateien
Dateiname Wert Inhalt
C:\WINDOWS\win.ini load
C:\WINDOWS\system.ini shell explorer.exe


Top

Batch und Text Dateien
Dateiname Inhalt
c:\msdos.sys Kein Inhalt
c:\autoexec.bat Kein Inhalt
c:\config.sys Kein Inhalt
C:\WINDOWS\wininit.ini
[Rename]
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=
NUL=



Top

#22 Hallo@Jayjay75

das ist nun nicht das Log vom ewido-Scan (also, wo man sehen kann, was infiziert ist....)

mache bitte noch einen Onlinescan mit panda + berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hi Sabina, Scan durchgeführt. Nachfolgend der Bericht


Incident Status Location

Virus:W32/Smitfraud.E Disinfected Operating system
Adware:adware/cws.homesearchasisstantNo disinfected Windows Registry
Virus:W32/Smitfraud.E Disinfected C:\WINDOWS\system32\wininet.dll
und nun?

#24 Hallo@Jayjay75

am besten, du scannst im abgesicherten Modus

•CWShredder
http://virus-protect.org/antispywaretools.html
* Double-click on CWShredder.exe.
WÄHREND des Scanvorganges müssen ALLE
sonstige Anwendungen beendet werden und
alle Browserfenster müssen geschlossen sein!
* Click "Fix ->" und click "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
Log-->"make Report"-->bitte posten
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hi Sabina, hab ein Problem, wollte gerade das Notebook im agesicherten Modus hochfahren, ging aber nicht. Bekam folgende Fehlermeldung:
"taskmgr.exe Komponente nicht gefunden"
"Die Anwendung konnte nicht gestartet werden, weil WININET.dll nicht gefunden wurde. Neuinstallation der Anwendung könnte das Problem geheben.

Mein Bildschirm war komplett blau, hatte keine ICons mehr, keine Starleiste nur noch die Maus. Bin jetzt mit meinem anderen PC drin. Hab da zwar das gleiche Problem, konnte aber hier, als ich "explorer.exe" (unter Anwendungen im Task Manager) eingegeben habe auf die ICOns und Startleiste zugreifen und somit bin ich dann noch mit meinem alten Modem ins Netz gekommen. Was kann ich jetzt noch machen? Bitte Hilfe! Und nochmals Sorry das ich NERV!

#26 ja, nun sitzen wir in der Tinte...der Virenscanner hat die dll deinfiziert und wahrscheinlich damit etwas zerstoert, denn normalerweise muss die dll ersetzt werden..

Zitat

C:\WINDOWS\wininit.ini
[Rename]
NUL=
NUL=

(durch eine nicht infizierte)

so kann ich sehen, welche wininet.dll nicht verseucht ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

oder, wenn das nicht mehr geht:
suche eine wininet.dll im System (es gibt mehrere)


2.) rechtsklick auf diese wininet.dll -- umbenennen -- in -- wininet.old

3.) dann suche folgendes:

C:\WINDOWS\SYSTEM32\DLLCACHE

Im "DLLCACHE" suche die wininet.dll -- rechtsklick-->Kopieren

4.)gehe zurück in -- C:\WINDOWS\System32 -- Rechtsklick -- Einfügen (somit müsstest du wieder eine "saubere" wininet.dll im System32-Ordner haben

----------

wenn garnichts mehr gut, dann mache eine Systemwiederherstellung und wir beginnen wieder von vorn .........
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hi, das Problem ist, ich kann weder im abgesicherten Modus noch normal auf meine Startleiste zugreifen...habe nur meine Maus und einen blauen Desktop...sonst nix...

#28 oh je....du kannst also keine Systemwiederherstellung mehr machen ?'?
Das ist wirklich schlimm...und mir in dieser Form auch noch nicht vorgekommen.
Nun...wenn garnichts mehr geht, so leid es mir tut....musst du wohl formatieren
__________
MfG Sabina

rund um die PC-Sicherheit

#29 ich habs gerade nochmal probiert und habe das System im abgesicherten Modus hochgeladen und mich als Administrator angemeldet. Kann ich hiernoch etwas erreichen? Er will von mir ne Eingabe:

C:\Dokumente und Einstellungen\Administrator>

#30 ja, du musst das Admin-Kennwort angeben...oder ? ich verstehe nicht ganz

Zitat

??????????????
Er will von mir ne Eingabe:
C:\Dokumente und Einstellungen\Administrator>

__________
MfG Sabina

rund um die PC-Sicherheit