Trojan.Stwoyle; Winstyle3.dll unlöschbar

#0
05.09.2005, 15:46
...neu hier

Beiträge: 9
#1 Hallo zusammen, ich versuche mal mein Prob kurz zu schildern. Norton bemängelt oben genannten Trojaner, ist aber nicht in der Lage ihn zu entfernen. Habe in dem Forum hier schon gesucht, ettliche Scans laufen lassen, per HijackThis die kritisierten Dateien gefixt, das Zeugs taucht immer wieder auf. Im abgesicherten Modus löschen (schlägt Norton vor) geht auch nicht. Ich füge mal den Log von HijackThis an. Weiß jemand einen Rat? Danke im Voraus...und was ihr hier macht find ich 1a!

Logfile of HijackThis v1.99.1
Scan saved at 15:33:14, on 05.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system\SVCHOST.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system\SMSS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\tanja_j\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=2&prtr=4413001&ctry=00000407&os=5&src=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EEF63EE-C811-4075-A846-B76D80B2507C}: NameServer = 217.237.151.225 217.237.150.225
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Dieser Beitrag wurde am 05.09.2005 um 15:54 Uhr von Charleen editiert.
Seitenanfang Seitenende
06.09.2005, 15:03
Moderator

Beiträge: 7804
#2 Fixe bitte folgendes:

O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll

starte neu und nutze bitte auch noch cwshredder: http://www.trendmicro.com/cwshredder/

pruefe danach diese Datei
C:\WINDOWS\system\SMSS.EXE
bitte hier: http://virusscan.jotti.org/ schreib, was gefunden wurde.

Zu guter letzt poste ein neues Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.09.2005, 20:38
...neu hier

Themenstarter

Beiträge: 9
#3 http://virusscan.jotti.org/:

MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 37a83bdbf9fc37f9ba5abb767fa6a78a
Packers detected: UPX
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing

Hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 20:37:17, on 06.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system\SVCHOST.EXE
C:\Dokumente und Einstellungen\tanja_j\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=2&prtr=4413001&ctry=00000407&os=5&src=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EEF63EE-C811-4075-A846-B76D80B2507C}: NameServer = 217.237.151.225 217.237.150.225
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: CWShredder Service - InterMute, Inc. - C:\Dokumente und Einstellungen\tanja_j\Eigene Dateien\programme\cwshredder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Danke für die Antwort, Norton meckert weiterhin ohne Ende und wenn ich z.b. bei google was suche, werde ich meist erst hierhin geleitet (bitte nicht anklicken!!!http://www.umaxsearch.com/search.php?aid=34465&q=kljl und von dort aus dann direkt nach hier http://xmatch.com/go/p181257&lang=german. Das passiert auch wenn ich andere links anklicke..nicht immer...aber sehr häufig.
Dieser Beitrag wurde am 06.09.2005 um 20:41 Uhr von Charleen editiert.
Seitenanfang Seitenende
06.09.2005, 20:54
Moderator

Beiträge: 7804
#4 cwshredder hat nichts gefunden?

Es waere nett, wenn du folgende Dateien im abgesicherten Modus umbenennen, den Rechner neu starten und die umbenannten Dateien an virus@protecus.de schicken koenntest:

C:\WINDOWS\system\SMSS.EXE
C:\WINDOWS\system\SVCHOST.EXE
C:\WINDOWS\system32\winstyle3.dll
C:\WINDOWS\adsldpbc.dll
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.09.2005, 21:05
Member
Avatar Gool

Beiträge: 4730
#5

Zitat

C:\WINDOWS\system\SMSS.EXE
Diese Datei gehört definitiv nicht dorthin. Überprüfe sie nochmals bei http://www.virustotal.com

Falls das auch nichts nützt, schicke mir bitte diese SMSS.EXE und die SVCHOST.EXE gezippt an virus[at]arko-websolutions.de.

Fixe mit HJT:

O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\SVCHOST.EXE
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll

Lade Dir Killbox herunter und entpacke es.

Starte den PC in den abgesicherten Modus.

Starte Killbox und aktiviere "Delete on Reboot". Füge nun nacheinander folgende Dateien ein und bestätigen jeweils mit Klick rechts auf das Kreuz (die Frage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA beantworten):

C:\WINDOWS\adsldpbc.dll
C:\WINDOWS\system\SVCHOST.EXE
C:\WINDOWS\system\SMSS.EXE
C:\WINDOWS\system32\winstyle3.dll

Der PC wird neugestartet. Lade Dir eScanCheck und überprüfe damit, wie auf der Seite beschrieben, Deinen PC. Poste uns das Ergebnis.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
06.09.2005, 21:42
Moderator

Beiträge: 7804
#6 Nur ein kleiner Zwischenbericht ueber die Dateien:

Scan report of: SVCHOST1.EX_
AntiVir -
AVG -
BitDefender BehavesLike:Win32.Backdoor (suspected)
ClamAV -
Command -
Dr Web -
eSafe Trojan/Worm (suspicious)
eTrust-INO -
eTrust-VET -
F-Prot -
F-Secure -
Fortinet suspicious
Ikarus -
Kaspersky -
McAfee -
Nod32 NewHeur_PE (probably unknown virus)
Norman W32/Malware (Sandbox)
Panda Bck/Agent.AJD
QuickHeal -
Sophos -
Symantec -
Trend Micro -
VirusBuster -

Scan report of: SMSS1.EX_

AntiVir -
AVG -
BitDefender -
ClamAV -
Command -
Dr Web -
eSafe Trojan/Worm (suspicious)
eTrust-INO -
eTrust-VET -
F-Prot -
F-Secure -
Fortinet suspicious
Ikarus -
Kaspersky -
McAfee -
Nod32 -
Norman -
Panda -
QuickHeal -
Sophos -
Symantec -
Trend Micro -
VirusBuster -

can report of: adsldpbc1.dl_

AntiVir -
AVG -
BitDefender BehavesLike:Trojan.TrustedZone
ClamAV -
Command -
Dr Web -
eSafe Trojan/Worm (suspicious)
eTrust-INO -
eTrust-VET -
F-Prot -
F-Secure -
Fortinet -
Ikarus -
Kaspersky -
McAfee -
Nod32 -
Norman -
Panda -
QuickHeal -
Sophos -
Symantec -
Trend Micro -
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.09.2005, 21:53
Moderator

Beiträge: 7804
#7 DIe C:\WINDOWS\system32\winstyle3.dll muss auch noch da sein, benenne diese auch bitte im abgesicherten Modus um. Falls du sie nicht finden kannst, waehle bitte im Explorer exrtras/ordneroptionen/ansicht hake dort "geschuetztre Systemdateien ausblenden) ab und "versteckte Dateien und Ordner/alle Dateien und Ordner anzeigen" an. dann solltest du sie finden koennen.

Denke dann nach einem neustart daran, die obigen angebenen Hijackthis Eintrage anzuhaken und "fix checked" zu druecken, nach erneutem Neustart ein aktuelles Log posten und die letzte umbenante Datei auch noch zu schicken.

Dann sollten wir der Loesung ein Stueck naeher gekommen zu sein.


BTW: Du musst die umbenannten Dateien auch nooch loeschen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.09.2005, 23:02
...neu hier

Themenstarter

Beiträge: 9
#8 erstmal zu raman

wenn ich winstyle3.dll umbenenne, meckert norton die umbenannte datei an..und ich konnte sie nicht versenden, warum weiss ich nicht. fix checked habe ich gedrückt, die anderen Dinger sind ja auch verschwunden, nur diese Einträge halt nicht. Sind immer wieder da.

jetzt zu Managor:
Ergebnis Virustotal
Ergebnis VirusTotal
This is a report processed by VirusTotal on 09/06/2005 at 21:15:58 (CET) after scanning the file "SMSS.EXE" file.
Antivirus Version Update Result
AntiVir 6.31.1.0 09.06.2005 no virus found
Avast 4.6.695.0 09.06.2005 no virus found
AVG 718 08.31.2005 no virus found
Avira 6.31.1.0 09.06.2005 no virus found
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.06.2005 no virus found
ClamAV devel-20050725 09.06.2005 no virus found
DrWeb 4.32b 09.06.2005 no virus found
eTrust-Iris 7.1.194.0 09.05.2005 no virus found
eTrust-Vet 11.9.1.0 09.06.2005 no virus found
Fortinet 2.41.0.0 09.03.2005 suspicious
F-Prot 3.16c 09.06.2005 no virus found
Ikarus 0.2.59.0 09.06.2005 no virus found
Kaspersky 4.0.2.24 09.06.2005 no virus found
McAfee 4575 09.06.2005 no virus found
NOD32v2 1.1210 09.06.2005 no virus found
Norman 5.70.10 09.06.2005 no virus found
Panda 8.02.00 09.05.2005 no virus found
Sophos 3.97.0 09.06.2005 no virus found
Symantec 8.0 09.05.2005 no virus found
TheHacker 5.8.2.101 09.06.2005 no virus found
VBA32 3.10.4 09.06.2005 no virus found
dürfte aber nach raman schon bekannt sein

Hier das Ergebnis von eScanCheck


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Tue Sep 06 21:43:02 2005 => File C:\WINDOWS\SYSTEM32\WINLOGON.EXE infected by "Trojan.Win32.Agent.ha" Virus! Action Taken: No Action Taken.
2: Tue Sep 06 21:43:33 2005 => File C:\Dokumente und Einstellungen\tanja_j\Desktop\backups\backup-20050906-202152-252.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
3: Tue Sep 06 21:43:51 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: No Action Taken.
4: Tue Sep 06 21:43:54 2005 => System found infected with P2P Networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken.
5: Tue Sep 06 21:43:58 2005 => System found infected with Cydoor.TOPicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken.
6: Tue Sep 06 21:43:58 2005 => System found infected with Cydoor.TOPicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken.
7: Tue Sep 06 21:44:13 2005 => Offending file found: C:\WINDOWS\smdat32a.sys
8: Tue Sep 06 21:44:13 2005 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken.
9: Tue Sep 06 21:45:05 2005 => Offending file found: C:\WINDOWS\system32\P2PNET~1.CPL
10: Tue Sep 06 21:45:05 2005 => System found infected with P2P Networking Spyware/Adware (p2p networking v126.cpl)! Action taken: No Action Taken.
11: Tue Sep 06 21:47:09 2005 => File C:\WINDOWS\system32\mskav.exe infected by "Trojan.Win32.Dialer.kc" Virus! Action Taken: No Action Taken.
12: Tue Sep 06 21:48:15 2005 => File C:\WINDOWS\system32\winlogon.exe infected by "Trojan.Win32.Agent.ha" Virus! Action Taken: No Action Taken.
13: Tue Sep 06 21:53:28 2005 => File C:\Dokumente und Einstellungen\tanja_j\Desktop\backups\backup-20050906-202152-252.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
14: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\27895FEB.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
15: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36827D2A.exe infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken.
16: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36852726.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.
17: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36895122.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
18: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\368C7B1F.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
19: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\368F251B.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
20: Tue Sep 06 22:14:30 2005 => File C:\Programme\Norton AntiVirus\Quarantine\36C51FD8.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
21: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\37DA6092.dll infected by "Trojan-Downloader.Win32.Delf.h" Virus! Action Taken: No Action Taken.
22: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\3D8C0EB1.tmp infected by "Email-Worm.Win32.Sober.p" Virus! Action Taken: No Action Taken.
23: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\436B1C91.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
24: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5F102F2E.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
25: Tue Sep 06 22:14:31 2005 => File C:\Programme\Norton AntiVirus\Quarantine\7DA33E92.dll infected by "Trojan-Downloader.Win32.Delf.lh" Virus! Action Taken: No Action Taken.
26: Tue Sep 06 22:38:23 2005 => File C:\WINDOWS\system32\mskav.exe infected by "Trojan.Win32.Dialer.kc" Virus! Action Taken: No Action Taken.
27: Tue Sep 06 22:40:17 2005 => File C:\WINDOWS\system32\winlogon.exe infected by "Trojan.Win32.Agent.ha" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Tue Sep 06 22:10:02 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Basic_Tagged.chm
2: Tue Sep 06 22:10:04 2005 => Scanning File C:\Programme\Kodak\Kodak EasyShare software\bin\ESS_Capture_Tagged.chm

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Tue Sep 06 21:43:21 2005 => ERROR!!! Invalid Entry {B212D577-05B7-4963-911E-4A8588160DFA} = C:\WINDOWS\system32\winstyle3.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). No Action Taken.
2: .......................................................
228: Tue Sep 06 21:45:31 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Jasc Software Inc\Paint Shop
Dieser Beitrag wurde am 06.09.2005 um 23:15 Uhr von Charleen editiert.
Seitenanfang Seitenende
07.09.2005, 01:34
Member
Avatar Gool

Beiträge: 4730
#9 Löschen:
C:\Dokumente und Einstellungen\tanja_j\Desktop\backups\backup-20050906-202152-252.dll

Norton-Quarantäne leeren.

Killbox (wie oben beschrieben):
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\system32\P2PNET~1.CPL
C:\WINDOWS\system32\mskav.exe

Jetzt haben wir das Problem, dass die Datei C:\WINDOWS\system32\winlogon.exe infiziert ist. Die Datei nicht löschen, da sie zu Windows gehört. Ich weiß jetzt momentan nicht, wie sie zu desinfizieren ist, deshalb mache folgendes:

Start -> Ausführen -> "sfc /scannow" (ohne Anführungszeichen)

Das startet die Systemdateiüberprüfung. Alle veränderten und beschädigten Windows-Dateien können dadurch wiederhergestellt werden.

Ich weiß nicht, ob das klappt. Evtl. weiß hier einer eine bessere Lösung.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
07.09.2005, 05:50
Moderator

Beiträge: 7804
#10 Hm, es waere nett, wenn du die Winlogon.exe auch noch schicken koenntest. ...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.09.2005, 07:10
...neu hier

Themenstarter

Beiträge: 9
#11 C:\WINDOWS\system32\P2PNET~1.CPL
die gibt es nicht..andere p2pnet dateien ja, aber diese nicht. Das mit dem "sfc /scannow" funktioniert bei mir nicht, kommt die Meldung konnte nicht gefunden werden.

Ich schick jetzt mal die Datei per Mail ab.
Seitenanfang Seitenende
07.09.2005, 14:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@Charleen

Zitat

C:\WINDOWS\system32\winstyle3.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). No Action Taken.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2005, 14:31
...neu hier

Themenstarter

Beiträge: 9
#13 Hallo Sabina,
hier das Ergebnis

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8C89-702D

Verzeichnis von C:\WINDOWS\tasks

04.05.2005 10:26 <DIR> .
04.05.2005 10:26 <DIR> ..
02.04.2003 14:00 65 desktop.ini
02.09.2005 20:00 498 Norton AntiVirus - Meinen Computer prfen.job
07.09.2005 14:18 6 SA.DAT
07.09.2005 11:39 352 Symantec NetDetect.job
4 Datei(en) 921 Bytes


C:\WINDOWS\system32\winstyle3.dll ..die Datei ist seitdem eScanCheck weg.
Seitenanfang Seitenende
07.09.2005, 14:49
Moderator

Beiträge: 7804
#14 Wir sind inzwischen etwas weiter und haben ganz was an unbekanntes gefunden......

BTW: SharedTaskScheduler ist was anderes als geplante Tasks

Ich hoffe, das wir das bald im Griff haben werden.

Zusaetzliche boese Dateien bis jetzt:

c:\windows\system32\msntrans.dll
c:\windows\system32\msnetsys.exe
c:\windows\system32\msbd32.dll

Bei dir gab es wohl zweimal eine "infektion", einmal ein Banker Passwort Trojaner und einmal eine art Hijacker.....

Was du auf jeden Fall machen must, sind deine Passworte alle zu aendern und zur Kontrolle ein neues Hijackthis log posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.09.2005, 14:52
Member
Avatar Gool

Beiträge: 4730
#15 Kleine Zwischenbemerkung bzgl. "sfc /scannow" funktioniert nicht. Hast Du die Anführungszeichen weggelassen? Wenn nicht, dann funktioniert es nicht.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: