Your personal data successfully tracked!

#16 1. Mit HijackThis fixen ("scan" -> Häkchen setzen -> "fix checked"):

O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [356202313ce] C:\WINDOWS\System32\356202313ce.exe
O4 - HKCU\..\Run: [356202313ce] C:\WINDOWS\System32\356202313ce.exe

2. Killbox: entpacken.
PC im abgesicherten Modus starten und Killbox starten. Aktiviere "Delete on Reboot" und füge folgendes in das Eingabefeld ein:

C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\System32\356202313ce.exe

Killbox wird Dich fragen, ob ein reboot durchgeführt werden soll ("reboot now?"). Das bestätigst Du erst nach der zweiten Datei mit Ja. Der PC wird dann neugestartet.

3. eScanCheck: Prüfe damit Dein System und berichte, wie es auf der Seite beschrieben ist.

4. Bitte notiere Dir auf einen Zettel und hänge ihn gut sichtbar irgendwo hin: "WindowsUpdates benutzen!"
Wenn wir fertig mit der Reinigung sind, sollte das das erste sein, was Du tust. ServicePack 2 und alle weiteren Updates sollten installiert werden.

5. Steige auf Firefox oder Opera um und nutze den Internet Explorer nur noch dann, wenn es wirklich nötig ist!
http://firefox-browser.de (kostenlos und quasi unendlich erweiterbar)
http://opera.com (die kostenlose Variante hat unauffällige Werbeunterstützung)

Nachtrag: Hallo Sabina, Du warst wohl wieder etwas schneller. Der TV-Movie ClickFinder ist allerdings sauber
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#17 Hallo@Managor

der escan wird ein Schlag ins Wasser sein...das Log passt hier nie rein
http://virus-protect.org/Artikel/spyware/mediagateway.html

Fein !!!!!!! Den Satz werd ich mir auch an den PC heften und ab jetzt oefters anwenden

Zitat

4. Bitte notiere Dir auf einen Zettel und hänge ihn gut sichtbar irgendwo hin: "WindowsUpdates benutzen!"
Wenn wir fertig mit der Reinigung sind, sollte das das erste sein, was Du tust. ServicePack 2 und alle weiteren Updates sollten installiert werden.

__________
MfG Sabina

rund um die PC-Sicherheit

#18 Ich kann das SP2 nicht installieren!!! ANGEBLICH ist mein Windows nicht richtig registriert. War schon von anfang an drauf. Und Online habe ich es auch registriert, aber funktioniert trotzdem nicht. HEUL...

#19 Hast Du mit XP-Antispy oder was ähnlichem rumgefummelt?

Dann guck mal hier nach:
http://board.protecus.de/t18819.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#20 Ich habe nur "AntiVir" drauf.
Oder was meinnst du genau? So gut kenne ich mich nicht aus

#21 Probier einfach mal aus, was in dem Beitrag steht, den ich Dir genannt habe

Wie schauts denn mit der Reinigung aus?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#22 Habe die "Datenträgerbereinigung" gemacht -> Kein Erfolg
Habe Spywaredoctor ausprobiert, hat 31 Fehler erkannt und bereinigt. Aber auch bei Neustart des Pc´s keine besserung. Bei den Seiten (Aus dem Beitrag) habe ich die ServicePacks probiert, aber immer das gleiche problem.

#23

Zitat

3. eScanCheck: Prüfe damit Dein System und berichte, wie es auf der Seite beschrieben ist.
http://virus-protect.org/escan.html

versuche dann abzukopieren, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Habe das Selbe Problem, nur ist bei mir der Desktop befallen!!
bitte um Hilfe!

Logfile of HijackThis v1.99.0
Scan saved at 19:57:09, on 02.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\CyberLink\PowerDVDtrial\PDVDServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\securitysuite.exe
C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für KillBox.zip\KillBox.exe
C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVDtrial\PDVDServ.exe
O4 - HKLM\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: WindowInstallSystem - Unknown - C:\WINDOWS\f3490d74d7c.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#25 Hallo@SteffenK

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O4 - HKLM\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe
O4 - HKCU\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe
O23 - Service: WindowInstallSystem - Unknown - C:\WINDOWS\f3490d74d7c.exe

PC neustarten

CCleaner (loesche alle temp-Dateien)
http://virus-protect.org/temp.html

datfindbat (poste alle 4 logs)
http://virus-protect.org/datfindbat.html

Lade: rkfiles.zip
Original : http://skads.org/special/rkfiles.zip
*entpacken
*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

*Doppelklick (Ausführen)-- rkfiles.bat -- im dos-Fenster steht : angegebener Pfad nicht gefunden ! checking the folder -- warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert) --- poste C:\log.txt

silentrunner-->poste das Log
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Ich greife mal den Silent Runners log vor, dadfindbatlog ist zu lang ums hier reinzuposten

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"WinampAgent" = ""C:\Programme\Winamp\Winampa.exe"" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"
"SubscribedURL" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Steffen" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "43bh2ml.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 14 seconds, including 5 seconds for message boxes)

SO nun noch die letzen 3 vom Datfind, hoffe sie passen
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp

03.10.2005 14:50 16.384 ~DFE69B.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 11.423.584.256 Bytes frei

C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\WINDOWS

03.10.2005 14:57 569 win.ini
03.10.2005 14:48 2.048 bootstat.dat
03.10.2005 14:48 30.524 SchedLgU.Txt
02.10.2005 20:07 3.470 f3490d74d7cdrv.sys
02.10.2005 20:06 132 winamp.ini
02.10.2005 19:31 564 f3490d74d7c.ini
26.09.2005 12:43 400 ODBC.INI
15.09.2005 14:31 34 cdplayer.ini
13.09.2005 19:54 89 dokop301.ini
26.07.2005 21:55 316.640 WMSysPr9.prx
26.07.2005 15:24 99.024 MozillaUninstall.exe
26.07.2005 15:24 8.588 mozver.dat
25.07.2005 16:44 335 nsreg.dat
25.07.2005 16:44 98.512 GREUninstall.exe
25.07.2005 12:15 231 system.ini
25.07.2005 11:28 8.192 REGLOCS.OLD
25.07.2005 11:25 0 control.ini
25.07.2005 11:24 299.552 WMSysPrx.prx
25.07.2005 11:24 4.161 ODBCINST.INI
25.07.2005 11:23 749 WindowsShell.Manifest
25.07.2005 11:21 37 vbaddin.ini
25.07.2005 11:21 36 vb.ini
08.03.2004 19:54 23 SBINET.INI
09.02.2004 10:54 65.024 SOUNDMAN.EXE
02.02.2004 12:44 139.264 alcrmv.exe
02.02.2004 12:37 208.896 alcupd.exe
08.11.2002 09:50 19.968 LOGI_MWX.EXE
29.08.2002 03:43 271.872 winhlp32.exe
29.08.2002 03:43 141.312 regedit.exe
29.08.2002 03:43 10.752 hh.exe
29.08.2002 03:43 1.007.104 explorer.exe
14.06.2002 18:46 19.274 001235_.tmp
18.02.2002 10:23 46.352 setdebug.exe
18.02.2002 07:35 6.550 jautoexp.dat
23.08.2001 14:00 65.832 Santa Fe-Stuck.bmp
23.08.2001 14:00 1.405 msdfmap.ini
23.08.2001 14:00 67.072 NOTEPAD.EXE
23.08.2001 14:00 65.978 Seifenblase.bmp
23.08.2001 14:00 1.085.913 SET3.tmp
23.08.2001 14:00 13.898 SET7.tmp
23.08.2001 14:00 17.062 Kaffeetasse.bmp
23.08.2001 14:00 17.362 Rhododendron.bmp
23.08.2001 14:00 65.954 Pr„riewind.bmp
23.08.2001 14:00 9.522 Zapotek.bmp
23.08.2001 14:00 26.582 Granit.bmp
23.08.2001 14:00 15.872 TASKMAN.EXE
23.08.2001 14:00 94.800 twain.dll
23.08.2001 14:00 46.592 twain_32.dll
23.08.2001 14:00 49.680 twunk_16.exe
23.08.2001 14:00 25.600 twunk_32.exe
23.08.2001 14:00 26.680 F„cher.bmp
23.08.2001 14:00 16.730 Feder.bmp
23.08.2001 14:00 18.944 vmmreg32.dll
23.08.2001 14:00 80 explorer.scf
23.08.2001 14:00 2 desktop.ini
23.08.2001 14:00 82.944 clock.avi
23.08.2001 14:00 257.568 winhelp.exe
23.08.2001 14:00 1.272 Blaue Spitzen 16.bmp
23.08.2001 14:00 48.680 winnt.bmp
23.08.2001 14:00 48.680 winnt256.bmp
23.08.2001 14:00 34.818 wmprfDEU.prx
23.08.2001 14:00 17.336 Angler.bmp
23.08.2001 14:00 707 _default.pif
05.07.2001 18:19 164 avrack.ini
26.02.1997 00:00 72.704 ST5UNST.EXE
65 Datei(en) 5.106.711 Bytes
0 Verzeichnis(se), 11.423.580.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\

03.10.2005 15:00 0 sys.txt
03.10.2005 14:59 3.452 system.txt
03.10.2005 14:59 299 systemtemp.txt
03.10.2005 14:53 97.186 system32.txt
03.10.2005 14:48 1.409.286.144 pagefile.sys
25.08.2005 07:00 5.329 CLDMA.LOG
25.07.2005 12:04 47.580 NTDETECT.COM
25.07.2005 12:04 235.296 ntldr
25.07.2005 11:20 194 boot.ini
24.07.2005 22:01 0 z.t
16.06.2005 17:16 194 $$$_.log
22.11.2004 16:34 65.536 crash.txt
27.02.2004 18:57 0 MSDOS.SYS
27.02.2004 18:57 0 CONFIG.SYS
27.02.2004 18:57 0 AUTOEXEC.BAT
27.02.2004 18:57 0 IO.SYS
20.09.2002 23:08 138.323.544 xpsp1.exe
23.08.2001 14:00 4.952 bootfont.bin
18 Datei(en) 1.548.069.706 Bytes
0 Verzeichnis(se), 11.423.576.064 Bytes frei

C:\Dokumente und Einstellungen\Steffen.PROPHECY\Eigene Dateien\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

#27 ich brauch das log von Windows\System32 .... vom Datfindbat (du musst ja vom Datum nur ca. 20 Tage reinkopieren)

Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring

f3490d74d7c.exe
danach:
WindowInstallSystem

hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.

Doppelklick:regsrch.vbs
reinkopieren:

f3490d74d7c.exe

danach:

WindowInstallSystem

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt
Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs


------------------------------------------------------------------------

Zitat

Gehe in die Registry

Start-->Ausfuehren-->regedit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"ForceActiveDesktopOn"=dword:00000001 <---auf 0 stellen

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D} <--loeschen

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
loeschen:
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"
"SubscribedURL" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html"

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\f3490d74d7c.ini
C:\WINDOWS\System32\43bh2ml.dll
C:\WINDOWS\43bh2ml.dll
C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html
C:\\Recycler\Q678341.exe
C:\WINDOWS\System32\f3490d74d7c.exe

PC neustarten

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " WindowInstallSystem" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" WindowInstallSystem " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt

Fixe mit dem HijackThis

O23 - Service: WindowInstallSystem - Unknown - C:\WINDOWS\f3490d74d7c.exe

neustarten

__________
MfG Sabina

rund um die PC-Sicherheit

#28 Ja, alles in einen Post ging nicht, wegen der Zeichen-Begrenzung des Forums, und 2 Beiträge hintereinander gind auch nicht ^^.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\WINDOWS\system32

27.09.2005 07:15 144.424 FNTCACHE.DAT
18.09.2005 21:59 2.184 wpa.dbl
27.07.2005 12:22 3.799 jupdate-1.5.0_04-b05.log
26.07.2005 21:56 16.832 amcompat.tlb
26.07.2005 21:56 23.392 nscompat.tlb
26.07.2005 15:04 6 BSETUP.TMP
25.07.2005 12:20 0 h323log.txt
25.07.2005 12:16 39.992 perfc009.dat
25.07.2005 12:16 48.156 perfc007.dat
25.07.2005 12:16 316.594 perfh007.dat
25.07.2005 12:16 311.604 perfh009.dat
25.07.2005 12:16 723.744 PerfStringBackup.INI
25.07.2005 11:31 25.065 wmpscheme.xml
25.07.2005 11:28 642 $winnt$.inf
25.07.2005 11:25 2.951 CONFIG.NT
25.07.2005 11:23 488 WindowsLogon.manifest
25.07.2005 11:23 488 logonui.exe.manifest
25.07.2005 11:23 749 nwc.cpl.manifest
25.07.2005 11:23 749 ncpa.cpl.manifest
25.07.2005 11:23 749 cdplayer.exe.manifest
25.07.2005 11:23 749 wuaucpl.cpl.manifest
25.07.2005 11:23 749 sapi.cpl.manifest
25.07.2005 11:21 21.740 emptyregdb.dat
03.06.2005 03:52 127.078 javaws.exe
03.06.2005 03:52 49.265 jpicpl32.cpl
03.06.2005 02:24 49.250 javaw.exe
03.06.2005 02:24 49.248 java.exe
28.01.2005 15:23 228.352 wmerror.dll
28.01.2005 15:23 9.216 asferror.dll
28.01.2005 15:23 86.016 wmpshell.dll
28.01.2005 15:23 3.407.872 wmploc.dll
28.01.2005 15:23 316.416 MSWMDM.dll
28.01.2005 15:23 486.400 Audiodev.dll
28.01.2005 13:32 2.370.296 wmvcore.dll
28.01.2005 13:32 895.736 wmvdmod.dll
28.01.2005 13:32 1.218.808 wmvadvd.dll
28.01.2005 13:32 774.904 wmsdmod.dll
28.01.2005 13:32 396.528 wmadmod.dll
28.01.2005 13:32 258.296 drmclien.dll
28.01.2005 13:32 413.944 wmspdmod.dll
28.01.2005 13:32 364.784 MSSCP.dll
28.01.2005 08:53 290.816 WMDRMNet.dll
28.01.2005 08:53 335.872 WMDRMdev.dll
28.01.2005 08:53 502.272 drmv2clt.dll
28.01.2005 08:53 294.912 blackbox.dll
28.01.2005 08:53 96.768 drmstor.dll
28.01.2005 08:53 142.336 msnetobj.dll
28.01.2005 08:53 221.184 qasf.dll
28.01.2005 08:53 164.864 cewmdm.dll
28.01.2005 08:53 28.160 WMDMLOG.dll
28.01.2005 08:53 135.168 wmpasf.dll
28.01.2005 08:53 282.624 wmpdxm.dll
28.01.2005 08:53 1.512.448 WMVADVE.DLL
28.01.2005 08:53 33.792 WMDMPS.dll
28.01.2005 08:53 25.088 MsPMSNSv.dll
28.01.2005 08:53 173.568 MsPMSP.dll
28.01.2005 08:53 175.104 wmpsrcwp.dll
28.01.2005 08:53 716.288 wmadmoe.dll
28.01.2005 08:53 1.119.744 wmsdmoe2.dll
28.01.2005 08:53 940.544 wmspdmoe.dll
28.01.2005 08:53 1.594.880 wmpencen.dll
28.01.2005 08:53 1.003.008 wmvdmoe2.dll
28.01.2005 08:53 1.027.072 wmnetmgr.dll
28.01.2005 08:53 5.525.504 wmp.dll
28.01.2005 08:53 150.016 wmidx.dll
28.01.2005 08:53 224.768 wmasf.dll
28.01.2005 08:53 6.656 laprxy.dll
28.01.2005 08:52 20.480 wmp.ocx
28.01.2005 08:52 20.480 wmpcore.dll
28.01.2005 08:52 20.480 wmpui.dll
28.01.2005 08:52 20.480 wmpcd.dll
28.01.2005 01:36 331.264 wpdsp.dll
28.01.2005 01:36 38.912 wpd_ci.dll
28.01.2005 01:36 331.776 wpdmtpdr.dll
28.01.2005 01:36 114.176 wpdmtp.dll
28.01.2005 01:36 66.560 wpdmtpus.dll
28.01.2005 01:36 61.952 wpdconns.dll
28.01.2005 01:36 10.752 wpdtrace.dll
28.01.2005 01:36 47.104 uwdf.exe
28.01.2005 01:36 38.912 wdfmgr.exe
28.01.2005 01:35 15.872 wdfapi.dll
28.01.2005 01:26 360.448 l3codecp.acm
28.01.2005 01:21 96.768 logagent.exe

#29 Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring
....
hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.
------------------------------------------------------------------------------
Doppelklick:regsrch.vbs
reinkopieren:

f3490d74d7c.exe

danach:

WindowInstallSystem

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt
Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs

-----------------------------------------------------------------------

mache einen Onlinescan mit kaspersky
http://virus-protect.org/onlinescan.html
und berichte.
Alle Logs (Silentruner, HijackThis) , die du noch mal posten sollst, sind zur Ueberpruefung.
__________
MfG Sabina

rund um die PC-Sicherheit

#30 REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "f3490d74d7c.exe" 04.10.2005 16:28:08

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E}]
"UninstallString"="\"C:\\WINDOWS\\System32\\f3490d74d7c.exe\" -un"


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "WindowInstallSystem" 04.10.2005 16:29:03

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7csvr]
"DisplayName"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7csvr]
"DisplayName"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7csvr]
"DisplayName"="WindowInstallSystem"


So, Hijackthis, nach dem ich alles durchgeführt habe bis hierhin, was du schon oben geschrieben hast.

Logfile of HijackThis v1.99.0
Scan saved at 16:40:11, on 04.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Achja auf meinem Desktop ist immer noch eine hässliche weisse Zone, die mir die Sicht auf meinen eigentlich Hintergrund verdeckt.....