rdsndin.exe, hclean32.exe; Ballon der immer auftaucht

#31 Hallo@gokpog

gut
das hast du super hinbekommen.
Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Ich habe genau das Problem mit "hclean32.exe", "rdsndin.exe" und dem ballon...leider bin ich nicht besondes erfahren. Habe gesehen wie toll ihr andeen helft. Wäre super, wenn ihr auch mir helfen könntet? DANKE!

Das habe ich aus den anderen Beiträgen mitbekommen:

a)
Logfile of HijackThis v1.99.1
Scan saved at 22:14:01, on 29.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Dokumente und Einstellungen\Name\Eigene Dateien\8 - Tools\Security\hijackthis_199\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut32.exe home
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysgx32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

b) escan

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Sep 29 19:50:17 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: Keine Aktion vorgenommen.
2: Thu Sep 29 19:50:17 2005 => System found infected with bargainbuddy Spyware/Adware ({8c752c5e-3c10-4076-af0a-ffc69fa20d1b})! Action taken: Keine Aktion vorgenommen.
3: Thu Sep 29 19:50:17 2005 => System found infected with bargainbuddy Spyware/Adware ({9388907f-82f5-434d-a941-bb802c6dd7c1})! Action taken: Keine Aktion vorgenommen.
4: Thu Sep 29 19:50:18 2005 => System found infected with coolwebsearch Spyware/Adware ({0E1230F8-EA50-42A9-983C-D22ABC2EED3B})! Action taken: Keine Aktion vorgenommen.
5: Thu Sep 29 19:50:18 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: Keine Aktion vorgenommen.
6: Thu Sep 29 19:50:18 2005 => System found infected with EGroup Spyware/Adware ({b843da96-2b2d-447e-90ab-b92929aa11af})! Action taken: Keine Aktion vorgenommen.
7: Thu Sep 29 19:50:18 2005 => System found infected with EGroup Spyware/Adware ({62bfaec2-82a5-4117-a98b-fea89413d924})! Action taken: Keine Aktion vorgenommen.
8: Thu Sep 29 19:50:18 2005 => System found infected with EGroup Spyware/Adware ({81c2f7f3-f930-455e-9aa5-0876d387c787})! Action taken: Keine Aktion vorgenommen.
9: Thu Sep 29 19:50:18 2005 => System found infected with EGroup Spyware/Adware ({7699aef9-f83a-44fa-b374-aa02cedf247d})! Action taken: Keine Aktion vorgenommen.
10: Thu Sep 29 19:50:19 2005 => System found infected with zeropopup Spyware/Adware ({95B92D92-8B7D-4A19-A3F1-43113B4DBCAF})! Action taken: Keine Aktion vorgenommen.
11: Thu Sep 29 19:50:19 2005 => System found infected with zeropopup Spyware/Adware ({5297E905-1DFB-4A9C-9871-A4F95FD58945})! Action taken: Keine Aktion vorgenommen.
12: Thu Sep 29 19:50:19 2005 => System found infected with FreshBar Spyware/Adware ({06ABAA2D-34AB-4902-A326-409BD9B9A7A5})! Action taken: Keine Aktion vorgenommen.
13: Thu Sep 29 19:50:30 2005 => System found infected with altnetbde Spyware/Adware (altnet signing module.exe)! Action taken: Keine Aktion vorgenommen.
14: Thu Sep 29 19:50:30 2005 => System found infected with altnetbde Spyware/Adware (adm.exe)! Action taken: Keine Aktion vorgenommen.
15: Thu Sep 29 19:50:50 2005 => Offending file found: C:\WINDOWS\my.css
16: Thu Sep 29 19:50:50 2005 => System found infected with cws.datanotary Spyware/Adware (my.css)! Action taken: Keine Aktion vorgenommen.


c) das mit dem http://virus-protect.org/datfindbat.html habe ich auch ausprobiert. habe aber irgendwei ein problem mit meinem notepad - es ist weg oder nicht mehr verlinkt und bei dem nikita-vorgehen ist der editor nicht aufgetaucht und word hat nicht mehr im vollen umfang funktioniert, so dass ich wieder die word cd einlgen musst. jetzt geht word wieder, sollte ich wohl nicht nicht noch einmal machen bevor das problem mit notepad behoben ist, oder?

habe auch schon so einiges gemacht, was ich in den beiträgen gefunden habe. hoffe, ich habe nicht zerstört. bin vor kurzem auch vom internet explorer auf firefox umgestiegen. hätte ich viel früher machen sollen!!!

frage: würde escan eigentlich alle vien und probleme lösen, wenn man sich das kaufen würde oder braucht man wirklich mehrere pogramme?

hilfe wäre wiklich super. danke!

#33 Hallo@AJ13

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut32.exe home
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysgx32.exe (file missing)

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nun findet man eine Textdatei auf dem Desktop:bitte hier posten

Datfindbat und alle 4 Logs mit der pfadangabe oben posten
http://virus-protect.org/datfindbat.html

rkfiles.zip
- entpacken
http://skads.org/special/rkfiles.zip
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
- Doppelklick(Ausfuehren)--rkfiles.bat -- warten bis sich das DOS-Fenster schliesst--- poste C:\log.txt

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#34 war schon nicht wenige aufgaben;-) hier das ergebnis

a) f-secure

09/30/05 19:32:46 [Info]: BlackLight Engine 1.0.23 initialized
09/30/05 19:32:46 [Info]: OS: 5.1 build 2600 (Service Pack 1)
09/30/05 19:32:46 [Note]: 4019 4
09/30/05 19:32:46 [Note]: 4005 0
09/30/05 19:37:16 [Note]: 4006 0
09/30/05 19:37:16 [Note]: 4011 1360
09/30/05 19:37:17 [Note]: FSRAW library version 1.7.1011
09/30/05 19:38:22 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
09/30/05 19:38:22 [Note]: 10002 1
09/30/05 19:39:38 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
09/30/05 19:39:38 [Note]: 10002 1
09/30/05 19:40:17 [Info]: Hidden file: C:\WINDOWS\system32\csiao.exe
09/30/05 19:40:17 [Note]: 4002 32
09/30/05 19:40:17 [Note]: 4003 1
09/30/05 19:40:17 [Note]: 10002 1
09/30/05 19:41:17 [Note]: 4007 0



b) datfindbat

30.09.2005 19:22 31.766 vsconfig.xml
30.09.2005 18:53 281.336 FNTCACHE.DAT
29.09.2005 19:42 2.184 wpa.dbl
17.09.2005 01:30 0 NvApps.xml
13.09.2005 19:55 4.212 zllictbl.dat
04.09.2005 18:42 305.318 perfh009.dat
04.09.2005 18:42 309.810 perfh007.dat
04.09.2005 18:42 45.672 perfc007.dat
04.09.2005 18:42 37.760 perfc009.dat
04.09.2005 18:42 702.938 PerfStringBackup.INI

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 146C-2993

Verzeichnis von C:\DOKUME~1\NAME~1\LOKALE~1\Temp

30.09.2005 19:42 512 ~DF1933.tmp
30.09.2005 19:42 512 ~DFF169.tmp
30.09.2005 19:42 31.232 ~WRC0000.tmp
3 Datei(en) 32.256 Bytes
0 Verzeichnis(se), 13.634.072.576 Bytes frei

Verzeichnis von C:\WINDOWS

30.09.2005 19:21 124.015 WindowsUpdate.log
30.09.2005 19:21 159 wiadebug.log
30.09.2005 19:21 50 wiaservc.log
30.09.2005 19:20 32.634 SchedLgU.Txt
30.09.2005 18:58 6.400 balloon.wav
25.09.2005 13:40 1.409 QTFont.for
25.09.2005 13:40 54.156 QTFont.qfn
24.09.2005 17:05 1.150 win.ini
24.09.2005 17:05 231 system.ini
24.09.2005 17:04 4.693.793 REGBK00.ZIP
24.09.2005 17:00 129.800 winsbak2.reg
24.09.2005 17:00 18.706 winsbak.reg
22.09.2005 20:50 3.251 mozver.dat
03.09.2005 17:49 0 nsreg.dat

Verzeichnis von C:\

30.09.2005 19:46 0 sys.txt
30.09.2005 19:46 6.830 system.txt
30.09.2005 19:46 385 systemtemp.txt
30.09.2005 19:45 102.939 system32.txt
30.09.2005 19:21 536.399.872 hiberfil.sys
30.09.2005 19:21 402.653.184 pagefile.sys
29.09.2005 19:55 4 AVPCallback.log
25.09.2005 16:45 2.520 debug.txt
10.04.2005 16:29 40 Auth.prof
20.02.2005 17:50 216 Requirements.txt


c) rk files

Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\inst_tsp.exe: UPX!
C:\WINDOWS\killproc.exe: UPX!
C:\WINDOWS\sporder.exe: UPX!
C:\WINDOWS\xdm.dll: UPX!
Finished


d) silent runner


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"hclean32.exe" = "C:\WINDOWS\System32\hclean32.exe" [file not found]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"dmnei.exe" = "C:\WINDOWS\System32\dmnei.exe" [file not found]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csvpw.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Name" & "All Users" startup folders:
-----------------------------------------------------------------

C:\Dokumente und Einstellungen\Name\Startmenü\Programme\Autostart
"HotSync Manager" -> shortcut to: "C:\Palm\HOTSYNC.EXE" ["Palm, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
(unwritable string)

Missing lines (compared with English-language version):
[Version]: 2 lines
[RestoreHomePage]: 1 line
[RestoreHomePage.reg]: 1 line
[RestoreBrowserSettings.reg]: 12 lines
[DeleteTemplates.reg]: 5 lines
[DeleteAutosearch.reg]: 1 line
[Strings]: 1 line
[RestoreBrowserSettings]: 2 lines
[Strings]: 3 lines


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 110 seconds, including 17 seconds for message boxes)


vielen dank für die hilfe im voraus
lg

#35 ADS Spy: (scanne und poste, was angezeigt wird)
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe

AboutBuster (poste mir den scanreport)
Download Aboutbuster:
http://www.spychecker.com/program/aboutbuster.html

Fixe mit dem HijackThis:

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysgx32.exe (file missing)

PC neustarten

schau, ob du das hier installiert hast
Omniquad Desktop Surveillance Personal 6.0.3.
wenn ja...deinstallieren.

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
[-HKEY_CURRENT_USER\Software\WareOut]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]
[-HKEY_CURRENT_USER\Software\SearchToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"=-
"dmnei.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Flags"=dword:00000008
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000]
"runonce1"="\"C:\\HJT\\hijackthis.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-


KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\my.css
C:\WINDOWS\system32\csiao.exe
C:\WINDOWS\System32\dmnei.exe
C:\WINDOWS\System32\hclean32.exe
C:\WINDOWS\System32\rdsndin.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\inst_tsp.exe
C:\WINDOWS\sysgx32.exe
C:\WINDOWS\killproc.exe
C:\WINDOWS\system32\svcnut32.exe
C:\WINDOWS\system32\svcnt.exe
C:\WINDOWS\sporder.exe
C:\WINDOWS\xdm.dll
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\System32\csvpw.exe


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

dann scanne noch mal mit Silentrunner


Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

11Fßä#·ºÄÖ`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

------------------------------

Zitat

wenn du diese zwei reg-Dateien nicht selbst erstellt hast, dann loesche sie auch mit der Killbox
24.09.2005 17:00 129.800 -- > C:\WINDOWS\winsbak2.reg
24.09.2005 17:00 18.706 -- > C:\WINDOWS\winsbak.reg

__________
MfG Sabina

rund um die PC-Sicherheit

#36 a) ADS Spy – nur posten, nicht löschen?

C:\WINDOWS\msdfmap.ini: ajwmz
C:\WINDOWS\ODBCINST.INI: elskpi
C:\WINDOWS\telephon.ini: xwusge


b) AboutBuster

AboutBuster 5.0 reference file 28
Scan started on [01.10.2005] at [10:42:42]
------------------------------------------------
No Ads Found!
------------------------------------------------
Removed File! : C:\Windows\System32\foijg.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 10:43:40


c) hijackthis

Fixe mit dem HijackThis:

O23 - Service: Network Security Service (NSS) ( 11Fßä #·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysgx32.exe (file missing)

Bekomme ich nicht weg, ist nach scan immer noch da!


d) schau, ob du das hier installiert hast: Omniquad Desktop Surveillance Personal 6.0.3.
wenn ja...deinstallieren.

in system/software nicht zu finden. soll ich anders danach suchen?


e) Silent Runner nach abgearbeiteten todos im normalen Modus (nicht abgesichert, war das ok?)


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Name" & "All Users" startup folders:
-----------------------------------------------------------------

C:\Dokumente und Einstellungen\Name\Startmenü\Programme\Autostart
"HotSync Manager" -> shortcut to: "C:\Palm\HOTSYNC.EXE" ["Palm, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
(unwritable string)

Missing lines (compared with English-language version):

[Version]: 2 lines
[RestoreHomePage]: 1 line
[RestoreHomePage.reg]: 1 line
[RestoreBrowserSettings.reg]: 12 lines
[DeleteTemplates.reg]: 5 lines
[DeleteAutosearch.reg]: 1 line
[Strings]: 1 line
[RestoreBrowserSettings]: 2 lines
[Strings]: 3 lines



Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


f) RegSearch

zuerst sagt er, dass er es 11mal gefunden hat, bei der ausgabe kommt eine fehlemeldung: windows script host, fehler = warten auf prozess nicht möglich, code = 80020009, quelle = wshshell.run

was kann ich da tun?

lg und danke

#37 loeschen:

C:\WINDOWS\msdfmap.ini: ajwmz
C:\WINDOWS\ODBCINST.INI: elskpi
C:\WINDOWS\telephon.ini: xwusge

und noch mal mit About Buster und ADS Spy scannen

Start-->Ausfuehren-->regedit

bearbeiten: suchen--> 11Fßä #·ºÄÖ`I (reinkopieren)

poste, ob du was findest und ob es sich loeschen laesst.


lade diese Seite (ueber die Browserleiste oben -- Datei speichern--> abspeichern unter -- waehle Desktop - dann erscheint eine legacy.reg auf dem Desktop. (--> noch nicht anwenden)

http://virus-protect.org/reg/legacy.reg

boote in den abgesichern Modus (F8 druecken, wenn der PC hochfaehrt)
. klicke doppelt die legacy.reg und fuege sie so der Registry bei.

dann suche noch mal in der Registry, ob die Eintraege weg sind.
__________
MfG Sabina

rund um die PC-Sicherheit

#38 hallo sabine,

AboutBuster 5.0 reference file 28
Scan started on [01.10.2005] at [22:28:57]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 22:29:29


ADS hat nichts gefunden

hijackthis zeigt nicht mehr den 11Fßä#·ºÄÖ`I - Eintag;-)

Vor Durchlazf der regency.reg 11 Einträge mit 11Fßä#·ºÄÖ`I

Danach noch diese 3, die ich nicht löschen kann

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 unter Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 unter Service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 unter Service


lg

#39 die musst du manuell loeschen (am besten im abgesicherten Modus)

Zitat

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 unter Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 unter Service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 unter Service

Start-->Ausfuehren-->regedit

bearbeiten--> suchen:

11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I

LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

dann den PC neustarten und noch mal mit dem regtool ueberpruefen, ob alles sauber ist.
__________
MfG Sabina

rund um die PC-Sicherheit

#40 hallo sabine,

ja das hat funktioniert

regsearch findet den eintrag 11Fßä#·ºÄÖ`I nun nicht mehr

habe den wert

Arbeitsplatz\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000

noch als wert in lastkey bei

HKEY_USERS\S-1-5-21-2216726386-1567011825-502627533-1007\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

muss ich daas auch noch löschen. wenn ja, welchen teil davon?

ist mein system jetzt sauer? vielen vielen dank für deine hilfe!!!

lg

#41

Zitat

ist mein system jetzt sauer?

ich denke ja, aber mach noch einen Onlinescan mit Kaspersky
http://virus-protect.org/onlinescan.html
+
AdAware
http://virus-protect.org/adaware.html

(LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\ <--alles loeschen)
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Hallo sabine,

a) keine LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I mehr zu finden

b) Onlinescan mit Kaspersky: habe die critical areas gescant, alles sauber. Sollte ich auch My Computer scanen?

c) AdAware: die unten entdeckt und in Quarantäne geschickt. 2 scan nichts gefunden!

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):2 total references
AltnetBDE(TAC index:4):2 total references
CoolWebSearch(TAC index:10):31 total references
DyFuCA(TAC index:3):3 total references
EGroup Dialer(TAC index:5):3 total references
IEHIjacker.SearchExe(TAC index:6):6 total references
istbar.dotcomToolbar(TAC index:5):2 total references
istbar(TAC index:7):4 total references
MoneyTree(TAC index:6):4 total references
Possible Browser Hijack attempt(TAC index:3):2 total references
PremiumConnect(TAC index:3):3 total references
StatBlaster(TAC index:8):2 total references
WebDialer(TAC index:5):2 total references
Win32.TrojanDownloader.Cabdialer(TAC index:7):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

jetzt alles sauber?

lg

#43

Zitat

jetzt alles sauber?

nun gut, ich entlasse den PC als "geheilt"...war ja ein schweres Stueck Arbeit...aber du hast alles gut ausgefuehrt
Lade bitte SP2, damit du hier nicht Dauergast wirst...(also die WindowsUpdates , koste es, was es wolle)

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#44 hi sabina
kannst mit weiterhelfen??sp2 muss noch drauf....ist nich mein rechner,ich hätts schon drauf gemacht aber kommt noch...

hier HJT:

Logfile of HijackThis v1.99.1
Scan saved at 10:12:00, on 21.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\dwwin.exe
C:\Dokumente und Einstellungen\limbach\Desktop\Neuer Ordner (2)\netz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R3 - URLSearchHook: (no name) - {7CEE0198-AEEE-9E83-DAB0-B518C6B23553} - ATLIEHELPER.dll (file missing)
R3 - URLSearchHook: (no name) - {F5257AFF-DDCE-935B-3894-14F43A5D7A87} - mozilla-text.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
O4 - HKLM\..\Run: [EXE32EXE] utsgmon.exe
O4 - HKLM\..\Run: [MsNetHelper] sysconf16.exe
O4 - HKLM\..\Run: [ftbar] bnui.exe
O4 - HKLM\..\Run: [mozilla-text] iesetupdll.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [utsgmon] defect08.exe
O4 - HKCU\..\Run: [ftbar] SAPSTR.exe
O4 - HKCU\..\Run: [Brong32] wormexe.exe
O4 - HKCU\..\Run: [sysconf16] newbreed.exe
O4 - HKCU\..\Run: [keybdll] cnftips.exe
O4 - HKCU\..\Run: [gabber] TemplateDongle.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B3C550-8722-4257-ADCA-D2D4D7C2E57A}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{63C2A2E7-9E7A-43AE-BA6C-12035BDC6DB4}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1C20EE1-71D4-470E-A5B2-863AF29BFB15}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{E802584F-0996-4DB7-B214-C2B74C97CD77}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{22B3C550-8722-4257-ADCA-D2D4D7C2E57A}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS3\Services\Tcpip\..\{22B3C550-8722-4257-ADCA-D2D4D7C2E57A}: NameServer = 69.50.168.178,85.255.112.16
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

#45 westinho

das ist eine Verseuchung mit Wareout und wird uns eine Weile beschaeftigen...kennst du dich beim PC aus?
dann versuchen wir es, bis jetzt habe ich alle PCs mit diesem Hijacker sauber bekommen, aber es sind einige Schritte notwendig. (falls du die Muehe scheust...formatiere...)
das ist der Beginn:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {7CEE0198-AEEE-9E83-DAB0-B518C6B23553} - ATLIEHELPER.dll (file missing)
R3 - URLSearchHook: (no name) - {F5257AFF-DDCE-935B-3894-14F43A5D7A87} - mozilla-text.dll (file missing)
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
O4 - HKLM\..\Run: [EXE32EXE] utsgmon.exe
O4 - HKLM\..\Run: [MsNetHelper] sysconf16.exe
O4 - HKLM\..\Run: [ftbar] bnui.exe
O4 - HKLM\..\Run: [mozilla-text] iesetupdll.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [utsgmon] defect08.exe
O4 - HKCU\..\Run: [ftbar] SAPSTR.exe
O4 - HKCU\..\Run: [Brong32] wormexe.exe
O4 - HKCU\..\Run: [sysconf16] newbreed.exe
O4 - HKCU\..\Run: [keybdll] cnftips.exe
O4 - HKCU\..\Run: [gabber] TemplateDongle.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B3C550-8722-4257-ADCA-D2D4D7C2E57A}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{63C2A2E7-9E7A-43AE-BA6C-12035BDC6DB4}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1C20EE1-71D4-470E-A5B2-863AF29BFB15}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{E802584F-0996-4DB7-B214-C2B74C97CD77}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{22B3C550-8722-4257-ADCA-D2D4D7C2E57A}: NameServer = 69.50.168.178,85.255.112.16
O17 - HKLM\System\CS3\Services\Tcpip\..\{22B3C550-8722-4257-ADCA-D2D4D7C2E57A}: NameServer = 69.50.168.178,85.255.112.16

PC neustarten

erstelle eine neue Internetverbindung (die bestehende, ist vom Hijacker und wurde mit HijackThis geloescht)

Silentrunners
http://virus-protect.org/silentrunner.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor -- und poste alles, was angezeigt wird.

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

Datfinbad - abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit