Spyware eingefangen?? "Your system is infectedt!"

#1 Hallo,

Ich habe auch diese komische schwarze Box mit roter Schrift: Your system is infected" usw.... und bekomme diese nicht mehr weg.

Folgenden Log File habe ich erstellt. Kann mit bitte jemand helfen u. eine saubere anleitung posten???? Bitte!

Vielen Dank!!!!


Logfile of HijackThis v1.99.1
Scan saved at 08:46:23, on 06.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Eset\nod32krn.exe
F:\Hijachthis\HijackThis.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe


Nun habe ich folgendes probiert!

Programm MicroWorld Anti-Virus + Spyware Toolkit Utility (ver. 7.1.2) gearbeitet und folgende LogFile Informationen bekommen. Wie bekomme ich das nun weg??

Vielen Dank!


Object "IMesh Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Lop.com Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "clickspring Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "IMesh Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\wuweb.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\wuweb.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\iPod\bin\iPodService.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" refers to invalid object "C:\Programme\ATI Technologies\ATI Control Panel\setup.exe". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".cue". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".info". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".part". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-Aware SE Professional". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Best Search Engine!!!". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "InstallShield_{3CB41017-F5CA-4C56-934C-ED02156251E6}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Kaspersky Anti-Virus Personal". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Language pack for Ad-Aware SE". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "OIN". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0CC43FE8-9B56-3AF5-2DA9-7D99B28604C8}" refers to invalid object "c:\programme\icqlite\waqmc7.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2B2CC8B0-2DC0-48c6-B6FD-C07820A6477E}" refers to invalid object "C:\Programme\EA Games\Command and Conquer Generäle\BrowserEngine.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}" refers to invalid object "C:\windows\system32\winacpi.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{7A7FB085-6068-4898-8CCA-480A9187277C}" refers to invalid object "C:\PROGRA~1\iPod\bin\IPODSE~1.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B29DEB73-0511-4372-95E2-0EB539D929C9}" refers to invalid object "C:\PROGRA~1\ICQLite\ICQLIT~2.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}" refers to invalid object "C:\WINDOWS\System32\ztoolb005.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F802F260-519B-11D1-BB5D-0060974C6013}" refers to invalid object "C:\Programme\ICQ\ICQShExt.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{46BC1593-FE6B-419C-922D-AF3591AED129}" refers to invalid object "C:\Programme\iPod\bin\iPodService.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}" refers to invalid object "C:\windows\system32\winacpi.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{6EE45698-21BA-420D-AD40-1B547699BEFB}" refers to invalid object "C:\Programme\EA Games\Command and Conquer Generäle\BrowserEngine.DLL". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{F048AEEC-AE7B-4DEC-BC7A-F5DB4B52C048}" refers to invalid object "C:\Programme\iMesh\iMesh5\iMeshBHO.dll". Action Taken: No Action Taken.
Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.
Entry "HKCR\AcroIEHelper.AcroIEHlprObj" refers to invalid object "{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}". Action Taken: No Action Taken.
Entry "HKCR\AcroIEHelper.AcroIEHlprObj.1" refers to invalid object "{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken.
Entry "HKCR\ed2k\shell\open\command" refers to invalid object ""C:\Programme\eMule.de\emule.exe" "%1"". Action Taken: No Action Taken.
Entry "HKCR\GSASkin.Document\shell\open\command" refers to invalid object "C:\PROGRA~1\GAMESP~1\GSAPak.exe "%1"". Action Taken: No Action Taken.
Entry "HKCR\IMeshBHO.DownloadRedirect" refers to invalid object "{00000000-6CB0-410C-8C3D-8FA8D2011D0A}". Action Taken: No Action Taken.
Entry "HKCR\IMeshBHO.DownloadRedirect.1" refers to invalid object "{00000000-6CB0-410C-8C3D-8FA8D2011D0A}". Action Taken: No Action Taken.
Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\ZAMailSafe\shell\open\command" refers to invalid object ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" -warning "%1"". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.activator" refers to invalid object "{FFF5092F-7172-4018-827B-FA5868FB0478}". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.activator.1" refers to invalid object "{FFF5092F-7172-4018-827B-FA5868FB0478}". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.StockBar" refers to invalid object "{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.StockBar.1" refers to invalid object "{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}". Action Taken: No Action Taken.
Datei C:\WINDOWS\System32\msnethlp32.dll infiziert von "Trojan-Proxy.Win32.Mitglieder.dq" Virus. Aktion vorgenommen: No Action Taken.

#2 Hallo@PC-Werner

arbeite bitte beide Links ab..
http://virus-protect.org/findqoologic.html
http://virus-protect.org/datfindbat.html

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hier die erste Textdatei


ind Qoologic last edited 8/30/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
some examples are MRT.EXE NTDLL.DLL.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

If this string search find's both and an exe and dat it's bad.
»»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

* UPX! C:\WINDOWS\DAEMON.DLL
»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x77f65fae

Global Startup:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
.
..
desktop.ini

User Startup:
C:\Dokumente und Einstellungen\Torsten Altmann\Startmenü\Programme\Autostart
.
..
desktop.ini

»»»»» Search by size and name...
»»»»» Files found by this method are not necessarily bad...
»»»»» Example PNGFILT.DLL ctl3d32.dll are windows files...

C:\WINDOWS\SYSTEM32\MSNETH~1.DLL

mit Killbox konnte ich nur daemon.dll löschen. Brauche ich auch die beiden Vierenscanner Escan u. Ewido???

nächste Textdatei:
ind Qoologic last edited 8/30/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
some examples are MRT.EXE NTDLL.DLL.
»»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

If this string search find's both and an exe and dat it's bad.
»»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»»

(fstarts by IMM - test ver. 0.001) NOT using address check -- 0x77f65fae

Global Startup:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
.
..
desktop.ini

User Startup:
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
.
..
desktop.ini

»»»»» Search by size and name...
»»»»» Files found by this method are not necessarily bad...
»»»»» Example PNGFILT.DLL ctl3d32.dll are windows files...

C:\WINDOWS\SYSTEM32\MSNETH~1.DLL

und nun???


hier nun die Daten von datfind.bat

Verzeichnis von C:\WINDOWS\system32

06.09.2005 08:26 37.888 setupnt.dll
06.09.2005 08:26 102.400 snapapi.dll
05.09.2005 18:40 270.336 imon.dll
05.09.2005 18:35 12 mapisvc.inf
05.09.2005 13:45 2.206 wpa.dbl
30.08.2005 11:34 3.219 PQ_DEBUG.TXT
30.08.2005 09:53 56 zhfsduiu.ghj
04.08.2005 11:05 146.808 FNTCACHE.DAT
28.07.2005 19:58 10.240 msnethlp32.dll
28.07.2005 19:28 2 wcpit.exe
28.07.2005 19:25 3.388 ztoolbar.bmp
28.07.2005 19:25 7.823 ztoolbar.xml
28.07.2005 19:24 46.592 zlbw.dll
28.07.2005 19:24 8 zksdfnsuidfsdiu.jhk
28.07.2005 19:24 64 abirvalg.dll
28.07.2005 19:24 1.632 vxgamet1.exe
28.07.2005 19:24 1 vx.tll
13.07.2005 17:03 1.162 qtplugin.log
13.05.2005 20:07 36.864 Shex.exe
08.05.2005 18:22 43.520 CmdLineExt03.dll
30.03.2005 21:09 40.190 perfc009.dat
30.03.2005 21:09 316.838 perfh007.dat
30.03.2005 21:09 311.802 perfh009.dat
30.03.2005 21:09 48.354 perfc007.dat
30.03.2005 21:09 723.744 PerfStringBackup.INI
23.03.2005 20:13 88.576 mqsec.dll
23.03.2005 20:13 130.048 mqad.dll
23.03.2005 20:13 14.848 mqise.dll
23.03.2005 20:13 44.032 mqdscli.dll
23.03.2005 20:13 608.768 mqqm.dll
23.03.2005 20:13 165.888 mqrt.dll
23.03.2005 20:13 44.544 mqupgrd.dll
23.03.2005 20:13 529.408 mqutil.dll
21.03.2005 15:00 884.736 msimsg.dll
21.03.2005 15:00 15.360 msisip.dll
21.03.2005 15:00 271.360 msihnd.dll
21.03.2005 15:00 78.848 msiexec.exe
21.03.2005 15:00 2.890.240 msi.dll
21.03.2005 15:00 15.072 spmsg.dll
12.03.2005 03:51 8.389.632 shell32.dll
12.03.2005 00:07 611.840 xpsp2res.dll
07.03.2005 11:52 79.432 GEARAspi.dll
06.03.2005 12:20 3.120 HSeNJ.ocx
06.03.2005 09:58 4.212 zllictbl.dat
06.03.2005 09:42 280 sunistlog.ini
06.03.2005 09:42 1.385 schecklog.txt
06.03.2005 09:42 998 2_ssetup.ini
06.03.2005 09:42 927 1_ssetup.ini
05.03.2005 17:46 25.065 wmpscheme.xml
05.03.2005 17:43 261 $winnt$.inf
05.03.2005 17:40 2.951 CONFIG.NT
05.03.2005 17:40 16.832 amcompat.tlb
05.03.2005 17:40 23.392 nscompat.tlb
05.03.2005 17:38 488 logonui.exe.manifest
05.03.2005 17:38 488 WindowsLogon.manifest


Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

30.08.2005 14:16 16.384 ~DFF998.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 20.950.958.080 Bytes frei

Verzeichnis von C:\WINDOWS

06.09.2005 14:37 569.278 ntbtlog.txt
06.09.2005 14:19 2.048 bootstat.dat
06.09.2005 14:17 355.114 WindowsUpdate.log
06.09.2005 14:17 32.568 SchedLgU.Txt
06.09.2005 08:45 0 0.log
06.09.2005 08:26 753.223 setupapi.log
05.09.2005 20:37 187.546 setupact.log
05.09.2005 18:23 563 nsw.log
05.09.2005 14:38 167.727 iis6.log
05.09.2005 14:38 30.875 ntdtcsetup.log
05.09.2005 14:38 53.167 comsetup.log
05.09.2005 14:38 62.792 tsoc.log
05.09.2005 14:38 6.913 tabletoc.log
05.09.2005 14:38 1.891 imsins.log
05.09.2005 14:38 22.480 netfxocm.log
05.09.2005 14:38 6.516 msgsocm.log
05.09.2005 14:38 74.028 ocgen.log
05.09.2005 14:38 5.008 ocmsn.log
05.09.2005 14:38 123.400 FaxSetup.log
05.09.2005 14:38 43.832 msmqinst.log
05.09.2005 14:38 1.494 WINNT32.LOG
05.09.2005 14:38 547 UPGRADE.TXT
05.09.2005 14:37 403 DHCPUPG.LOG
30.08.2005 14:15 1.056 win.ini
30.08.2005 14:15 227 system.ini
03.08.2005 21:51 137 uno.ini
01.08.2005 17:45 116 NeroDigital.ini
28.07.2005 19:53 1.024 ms4.exe
28.07.2005 19:53 24.576 ms3.exe
28.07.2005 19:52 16 System32mscore.bin
28.07.2005 19:51 0 uniq
28.07.2005 19:25 309.190 blank.mht
28.07.2005 19:24 896 zsettings.dll
28.07.2005 19:24 31 netdx.dat
28.07.2005 19:24 2 flag.bla
28.07.2005 19:24 5.466 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
28.07.2005 19:24 1.999 desktop.html
24.07.2005 21:29 2.040 ModemLog_Lucent Technologies Soft Modem AMR.txt
13.07.2005 17:04 87 GEARInstall.log
02.07.2005 21:56 154.000 DirectX.log
02.07.2005 00:35 2.560 _MSRSTRT.EXE
14.05.2005 11:02 50 wiaservc.log
14.05.2005 11:02 216 wiadebug.log
24.04.2005 15:24 1.374 imsins.BAK
24.04.2005 15:24 36.711 KB885835.log
24.04.2005 15:23 28.939 KB893803.log
24.04.2005 15:21 35.815 KB890859.log
24.04.2005 15:20 5.772 updspapi.log
24.04.2005 15:20 23.934 KB890923-IE6SP1-20050225.103456.log
24.04.2005 15:19 27.925 KB893066.log
24.04.2005 15:18 25.818 KB892944.log
24.04.2005 15:17 28.019 KB893086.log

Verzeichnis von C:\

06.09.2005 14:37 0 sys.txt
06.09.2005 14:37 6.852 system.txt
06.09.2005 14:36 295 systemtemp.txt
06.09.2005 14:35 93.984 system32.txt
06.09.2005 14:19 402.653.184 pagefile.sys
06.09.2005 10:19 0 23990098.$$$
06.09.2005 10:19 5 AVPCallback.log
30.08.2005 14:15 194 boot.ini
28.07.2005 19:24 26.775 kasperskyantiviruspersonalv5.0.227keyfile.zip
05.03.2005 17:40 0 AUTOEXEC.BAT
05.03.2005 17:40 0 MSDOS.SYS
05.03.2005 17:40 0 CONFIG.SYS
05.03.2005 17:40 0 IO.SYS
29.08.2002 02:05 235.296 ntldr
28.08.2002 22:08 47.580 NTDETECT.COM
18.08.2001 14:00 4.952 bootfont.bin
16 Datei(en) 403.069.117 Bytes
0 Verzeichnis(se), 20.950.945.792 Bytes frei

hier nun die log.txt

F:\Hijachthis

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\vxgamet1.exe: FSG!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\vxgamet1.exe: FSG!
Files Found in all users windows Folder............
------------------------
Finished
bye



file.txt

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

#4

Zitat

mit Killbox konnte ich nur daemon.dll löschen. Brauche ich auch die beiden Vierenscanner Escan u. Ewido???

wer hat gesagt, dass du die dll loeschen sollst? Das ist meiner Meinung nach keine Malware....

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\kasperskyantiviruspersonalv5.0.227keyfile.zip
C:\WINDOWS\system32\msnethlp32.dll
C:\WINDOWS\system32\wcpit.exe
C:\WINDOWS\system32\zhfsduiu.ghj
C:\WINDOWS\system32\ztoolbar.bmp
C:\WINDOWS\System32\ztoolb005.dll
C:\WINDOWS\system32\ztoolbar.xml
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\zksdfnsuidfsdiu.jhk
C:\WINDOWS\system32\abirvalg.dll
C:\WINDOWS\system32\vxgamet1.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\Shex.exe
C:\WINDOWS\ms4.exe
C:\WINDOWS\ms3.exe
C:\WINDOWS\System32\mscore.bin
C:\WINDOWS\uniq
C:\WINDOWS\blank.mht
C:\WINDOWS\zsettings.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\netdx.dat
C:\WINDOWS\desktop.html

PC neustarten

scanne bitte mit diesem Tool und poste mir den Scanreport
Entfernungstool: Sunbelt
http://research.sunbelt-software.com/ssaclean.cfm

scanne mit ewido und poste bitte das Log vom Scan
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ;-))) Anzeige ist weg, aber desktophintergrund läßt sich noch nicht umschalten. Soweit schon mal herzlichen Dank!!! Wie kann ich das gut machen? Aber eben der Desktophintergrund noch...........
Kann das auch sein, dass durch den "Mist" das CD-Rom LAufwerk ausser Gefecht gesetzt wurde???



Erstes Log

SSA Keylogger Cleaner Log
(c) Sunbelt Software Inc. 2005
www.sunbelt-software.com

Scan Running Processes:


Scanning For Trojan Files:

Searching for SSA files:
C:
C:\WINDOWS
C:\WINDOWS\System
C:\WINDOWS\temp
Delete file: fe43e701.htm
C:\Program Files\Internet Explorer\SHTTP

Cleaning HOSTS file:


Cleaning Registry.
Deleted Reg Key: Software\SARS

System Clean
The SSA Keylogger was not found on your system.


Zweites Log

--------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:15:41, 06.09.2005
+ Report-Checksumme: 35C7FE9F

+ Scanergebnis:

HKLM\SOFTWARE\Classes\ZToolbar.activator -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.activator\CLSID -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.activator\CurVer -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CLSID -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CurVer -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.StockBar -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CLSID -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CurVer -> Spyware.Azsearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Torsten Altmann\Cookies\torsten altmann@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Torsten Altmann\Cookies\torsten altmann@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Gesäubert mit Backup


::Report Ende

#6 Hallo@PC-Werner

suche /loesche:
C:\WINDOWS\desktop.html
C:\WINDOWS\POPUP.HTML

silentrunner.
http://virus-protect.org/silentrunner.html

PC neustarten Kaspersky + panda (und berichte)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

einen Online-scan kann ich leider momentan nicht durchführen, da ich nicht am Netz hänge, aber dafür nutze ich das Antivirenprogramm NOD32. Und das findet nichts mehr.

Wie schon gesagt, das desktopbild ist verschwunden, doch leider kann ich den Hintergrund noch nicht ändern!

Die beiden Dateien desktop.html und popup.html können nicht gefunden werden, wobei ich gestern ja schon die Desktop.html eliminiert habe.

Wie kann ich noch den Desktop wieder "freischalten"???



Hier noch die Log von silentrunner:


"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "st"
-> {CLSID}\InProcServer32\(Default) = "C:\windows\system32\winacpi.dll" [file not found]
"{B089FE88-FB52-11d3-BDF1-0050DA34150D}" = "NOD32 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" ["Eset "]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11d3-BDF1-0050DA34150D}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" ["Eset "]
sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\windows\system32\winacpi.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11d3-BDF1-0050DA34150D}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" ["Eset "]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
imon.dll ["Eset "], 01 - 05, 23
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "Encarta &Recherche-Assistent" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NOD32 Kernel Service, NOD32krn, ""C:\Programme\Eset\nod32krn.exe"" ["Eset "]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 32 seconds, including 3 seconds for message boxes)

#8 Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" <--loeschen


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

kopiere in die Killbox:
C:\WINDOWS\System32\ztoolb005.dll

wenn es noch da ist: neustarten


#TuneUp2004 (30 Tage free)--> es gibt schon 2006
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

Herzlichen Dank!!!! Ich denke es hat alles prima funtkioniert!!! Wie kann ich es wieder gut machen???????????????
Woher weißt Du das alles???????


Gruß

Werner

#10 Hallo, ich habe auch das Problem, als Desktophintergrund eine schwarze Box mit roter Schrift zu besitzen....

Diese besagt (Natürlich alles wieder auf Englisch)...Spyware Infection...mein System ist mit Spyware infiziert, ich sollte aufgrund von Datenverlust und Missbraucht nicht weitermachen ohne ein Programm durchlaufen lassen... Pflichtbewusst wie die ersteller dieses Schriftzuges sind, scheinen sie mir direkt ein solches Programm mit geschickt zuhaben...Spy Agent oder so...diese konnte ich schon über Systemsteuerung "Software" löschen, Anti Vir hatte einen Trojaner gemeldet gehabt...."Datei Überschreiben und löschen" im abgesicherten Modus hate geklappt...nur das Bild ist noch da und irgendwas scheint dort im hintergrund zu arbeiten...hoffe mir kann einer helfen...anbei schicke ich Euch mal mein Hijackthis Log aus dem abgesicherten Modus mit....


Logfile of HijackThis v1.99.1
Scan saved at 12:21:53, on 12.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe




Vielen Dank....ein erholsames Wochenende Euch allen....



Dirk

#11 Hallo@AngelSquall

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere die 4 Logs hier
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

silentrunner.
http://virus-protect.org/silentrunner.html

---------------------------------------------------------------------
?????????????




?????????????



__________
MfG Sabina

rund um die PC-Sicherheit

#12 hi
bei mir steht als desktop bild SPYWARE INFECTION......
ich kann auch kein anderes bild auswählen aus hintergrund
HIER IS MEIN HIJACK LOG:

Logfile of HijackThis v1.99.1
Scan saved at 11:56:30, on 13.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ubi.com\Core\GS4.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\Rar$EX00.452\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchtheworld4you.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Desktop-Changer 1.0] C:\Programme\Desktop-Changer\Desktop-Changer 1.0.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Logon Updater] winlogonupdate.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.1.74.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_Crac*hier nicht!*.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: Cfgbios - {4608730C-C114-4127-87A0-F6C611AAAD7B} - C:\WINDOWS\System32\progsub.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\MARCEL~1\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

WAS MACHE ICH NUN?????

HABE AUCH EIN FOTO VON DIESEM DESKTOP PIC
NUR WEISS NICH WIE MAN ES HIER REIN MACHT

#13 Hallo wiesel93

Hilfe kommt sofort, aber erst:

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere die 4 Logs hier
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

silentrunner.
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina,

also, ich hoffe ich habe alles richtig gemacht...folgend nun die Log´s....


Folgende Logs, habe ich von datfind erhalten...

System32.txt, ca. der letzten 3-4Monate:


Verzeichnis von C:\WINDOWS\system32

13.11.2005 13:37 21.828 nvapps.xml
12.11.2005 19:40 28.056 BMXCtrlState-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx
12.11.2005 19:40 20.592 BMXState-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx
12.11.2005 19:40 20.592 BMXStateBkp-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx
12.11.2005 19:40 28.056 BMXBkpCtrlState-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx
12.11.2005 19:40 24 DVCStateBkp-{00000000-00000000-00000003-00001102-00000004-00531102}.dat
12.11.2005 19:40 24 DVCState-{00000000-00000000-00000003-00001102-00000004-00531102}.dat
12.11.2005 19:40 1.072 settingsbkup.sfm
12.11.2005 19:40 1.072 settings.sfm
11.11.2005 21:50 0 countrydial.exe
11.11.2005 21:48 5.120 msctr.dll
11.11.2005 21:37 2.206 wpa.dbl
30.10.2005 15:23 40.128 perfc009.dat
30.10.2005 15:23 311.740 perfh009.dat
30.10.2005 15:23 316.924 perfh007.dat
30.10.2005 15:23 48.354 perfc007.dat
30.10.2005 15:23 723.744 PerfStringBackup.INI
18.10.2005 13:14 142.032 FNTCACHE.DAT
20.09.2005 17:28 0 lame_acm.xml
30.08.2005 15:48 3.799 jupdate-1.5.0_04-b05.log
09.08.2005 23:14 692.224 divxdec.ax
09.08.2005 23:13 4.276 divxsm.tlb
09.08.2005 23:13 524.288 DivXsm.exe
09.08.2005 23:13 692.736 DivX.dll
09.08.2005 23:13 688.128 divx_xx07.dll
09.08.2005 23:13 10.775 dsm_ja.qm
09.08.2005 23:13 15.351 dsm_de.qm
09.08.2005 23:13 15.153 dsm_fr.qm
09.08.2005 23:13 688.128 divx_xx0c.dll
09.08.2005 23:13 671.744 divx_xx11.dll
09.08.2005 23:13 831.488 libeay32.dll
09.08.2005 23:13 245.408 unicows.dll
09.08.2005 23:13 159.744 ssleay32.dll
09.08.2005 23:12 3.596.288 qt-dx331.dll
09.08.2005 23:12 8.523 dpude.qm
09.08.2005 23:12 86.016 dpl100.dll
09.08.2005 23:12 581.632 dpuGUI11.dll
09.08.2005 23:12 200.704 dtu100.dll
09.08.2005 23:12 303.104 dpus11.dll
09.08.2005 23:12 57.344 dpv11.dll
09.08.2005 23:12 245.760 dpu11.dll
09.08.2005 23:12 3.136 dtu_de.qm
09.08.2005 23:12 356.436 DivXMedia.ax


Systemtemp.txt

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


System.txt


Verzeichnis von C:\WINDOWS

13.11.2005 13:37 51 iTouch.ini
13.11.2005 13:37 50 wiaservc.log
13.11.2005 13:37 159 wiadebug.log
13.11.2005 13:37 2.048 bootstat.dat
12.11.2005 19:40 3.778.236 {00000000-00000000-00000003-00001102-00000004-00531102}.CDF
12.11.2005 02:39 615 win.ini
12.11.2005 02:39 227 system.ini
11.11.2005 21:49 1.999 desktop.html
11.11.2005 21:48 28.160 tool2.exe
11.11.2005 21:48 57.711 kl.exe
11.11.2005 21:48 0 uniq
11.11.2005 21:20 69 NeroDigital.ini
18.10.2005 13:01 316.640 WMSysPr9.prx
19.03.2005 17:14 567 eReg.dat
14.03.2005 13:27 810 Rtcw.INI
19.02.2005 12:31 132 SBWIN.INI
18.02.2005 12:36 63 vbaddin.ini
18.02.2005 12:32 400 ODBC.INI
18.02.2005 12:21 495 demo.INI
18.02.2005 10:57 8.192 REGLOCS.OLD
18.02.2005 10:53 0 control.ini
18.02.2005 10:53 299.552 WMSysPrx.prx
18.02.2005 10:53 4.161 ODBCINST.INI
18.02.2005 10:52 749 WindowsShell.Manifest
18.02.2005 10:50 36 vb.ini
18.02.2005 10:39 0 Sti_Trace.log
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 32.866 slrundll.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 70.144 notepad.exe
04.08.2004 00:57 10.752 hh.exe
04.08.2004 00:57 1.035.264 explorer.exe
04.08.2004 00:57 50.688 twain_32.dll
17.07.2004 11:40 19.528 002254_.tmp
02.10.2001 15:42 61.440 MIDIDEF.EXE
21.09.2001 11:47 16.384 INSTRESGER.DLL
11.09.2001 13:36 77.824 DEVREG.DLL
11.09.2001 13:36 176.128 PSCONV.EXE
11.09.2001 13:36 159.744 READREG.EXE
06.09.2001 18:44 3.778.236 DEVCONDEFAULTDATABASE_AUDIGY.CDF
23.08.2001 13:00 17.362 Rhododendron.bmp
23.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
23.08.2001 13:00 26.582 Granit.bmp
23.08.2001 13:00 9.522 Zapotek.bmp
23.08.2001 13:00 1.085.913 SET3.tmp
23.08.2001 13:00 13.898 SET7.tmp
23.08.2001 13:00 26.680 F„cher.bmp
23.08.2001 13:00 16.730 Feder.bmp
23.08.2001 13:00 80 explorer.scf
23.08.2001 13:00 15.872 TASKMAN.EXE
23.08.2001 13:00 65.954 Pr„riewind.bmp
23.08.2001 13:00 94.800 twain.dll
23.08.2001 13:00 707 _default.pif
23.08.2001 13:00 49.680 twunk_16.exe
23.08.2001 13:00 25.600 twunk_32.exe
23.08.2001 13:00 17.062 Kaffeetasse.bmp
23.08.2001 13:00 17.336 Angler.bmp
23.08.2001 13:00 65.978 Seifenblase.bmp
23.08.2001 13:00 2 desktop.ini
23.08.2001 13:00 18.944 vmmreg32.dll
23.08.2001 13:00 34.818 wmprfDEU.prx
23.08.2001 13:00 48.680 winnt256.bmp
23.08.2001 13:00 48.680 winnt.bmp
23.08.2001 13:00 82.944 clock.avi
23.08.2001 13:00 257.568 winhelp.exe
23.08.2001 13:00 1.272 Blaue Spitzen 16.bmp
23.08.2001 13:00 1.405 msdfmap.ini
11.05.2000 01:00 90.112 Updreg.exe
11.10.1999 03:01 41.984 CTREGRUN.EXE
14.01.1999 14:04 231 ac3api.ini
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
02.06.1997 05:06 24.992 Ctres.dll
05.12.1994 03:11 53.552 ctccw.dll
74 Datei(en) 13.388.652 Bytes
0 Verzeichnis(se), 54.875.652.096 Bytes frei


Sys.txt


Verzeichnis von C:\

13.11.2005 14:16 0 sys.txt
13.11.2005 14:16 3.920 system.txt
13.11.2005 14:16 136 systemtemp.txt
13.11.2005 14:16 101.771 system32.txt
13.11.2005 13:36 805.306.368 pagefile.sys
12.11.2005 02:39 211 boot.ini
11.11.2005 21:48 28.160 winstall.exe
18.02.2005 12:55 0 itouch_crash_info.txt
18.02.2005 11:29 47.564 NTDETECT.COM
18.02.2005 11:29 251.184 ntldr
18.02.2005 10:53 0 IO.SYS
18.02.2005 10:53 0 CONFIG.SYS
18.02.2005 10:53 0 AUTOEXEC.BAT
18.02.2005 10:53 0 MSDOS.SYS
23.08.2001 13:00 4.952 bootfont.bin
15 Datei(en) 805.744.266 Bytes
0 Verzeichnis(se), 54.875.648.000 Bytes frei





blbeta, legte folgendes txt ab...er schien aber auch nichts besonderes gefunden zuhaben....

11/13/05 14:18:52 [Info]: BlackLight Engine 1.0.25 initialized
11/13/05 14:18:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/13/05 14:18:52 [Note]: 4019 4
11/13/05 14:18:52 [Note]: 4005 0
11/13/05 14:18:56 [Note]: 4006 0
11/13/05 14:18:56 [Note]: 4011 276
11/13/05 14:18:57 [Note]: FSRAW library version 1.7.1013
11/13/05 14:20:18 [Note]: 4007 0


Und zum Schluss "Silent-Runners"...

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"TaskTray" = "C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe" ["Creative Technology Ltd."]
"Taskbar" = "C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe" ["Creative Technology Ltd"]
"Windows installer" = "C:\winstall.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"UpdReg" = "C:\WINDOWS\Updreg.exe" ["Creative Technology Ltd."]
"CTStartup" = "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run" ["Creative Technology Ltd."]
"Jet Detection" = "C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [empty string]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"TerraTec Remote Control" = ""C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"" ["TerraTec Electronic GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Visio10\VisShe.dll" [null data]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Visio10\VisShe.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper and enables Active Desktop]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 35 seconds, including 12 seconds for message boxes)


Hoffe, kannst damit was anfangen und mir ist kein Fehler unterlaufen...

Schonmal vielen Dank für deine Mühen.....

Schönen Sonntag noch.....

Dirk

#15 DANKE FÜR DIE SCHNELLE HILFE ICH PROBIER ES MAL AUS

HIER ISt DAS VOn diesem datfind
12.11.2005 11:08 109.400 FNTCACHE.DAT
11.11.2005 21:33 5.120 msctr.dll
10.11.2005 18:32 2.206 wpa.dbl
30.10.2005 07:51 311.604 perfh009.dat
30.10.2005 07:51 39.992 perfc009.dat
30.10.2005 07:51 48.156 perfc007.dat
30.10.2005 07:51 316.594 perfh007.dat
30.10.2005 07:51 723.744 PerfStringBackup.INI
24.10.2005 12:47 51.733 plugin1.dat
23.10.2005 10:12 20.832 So_Okt_23_2005.txt
23.10.2005 08:51 4.240 win32log.dat
22.10.2005 22:06 81.572 Sa_Okt_22_2005.txt
21.10.2005 21:52 100.919 Fr_Okt_21_2005.txt
21.10.2005 17:04 299.008 TCPService2.exe
21.10.2005 17:04 17.408 NTCommLib3.exe
21.10.2005 17:04 163.840 ucsi.exe
20.10.2005 21:09 35.082 Do_Okt_20_2005.txt
19.10.2005 12:56 145 Mi_Okt_19_2005.txt
18.10.2005 19:51 23.049 Di_Okt_18_2005.txt
18.10.2005 19:05 1.919 AUTOEXEC.NT
17.10.2005 19:41 27.338 Mo_Okt_17_2005.txt
16.10.2005 19:34 118.795 So_Okt_16_2005.txt
16.10.2005 16:59 98.304 CmdLineExt.dll
15.10.2005 18:53 43.219 Sa_Okt_15_2005.txt
14.10.2005 21:35 93.548 Fr_Okt_14_2005.txt
13.10.2005 21:05 85.310 Do_Okt_13_2005.txt
13.10.2005 00:11 118.784 sirenacm.dll
12.10.2005 21:40 86.133 Mi_Okt_12_2005.txt
12.10.2005 14:16 159.752 ntdll.exe
11.10.2005 21:25 76.004 Di_Okt_11_2005.txt
11.10.2005 09:40 3.416 5o0i8el9.ini
11.10.2005 09:39 0 0la0as47.html
10.10.2005 21:43 176.455 Mo_Okt_10_2005.txt
09.10.2005 21:37 123.917 So_Okt_09_2005.txt
09.10.2005 08:56 35.448 a8b0muq0.dat
09.10.2005 08:56 191.792 trj1394v.dat
09.10.2005 08:56 4.048 ol2vajf1.dat
01.10.2005 07:57 5.153 Sa_Okt_01_2005.txt
30.09.2005 20:47 53.942 Fr_Sep_30_2005.txt
29.09.2005 20:22 8.521 Do_Sep_29_2005.txt
28.09.2005 19:50 69.854 Mi_Sep_28_2005.txt
27.09.2005 20:22 31.704 Di_Sep_27_2005.txt
26.09.2005 19:08 41.806 Mo_Sep_26_2005.txt
25.09.2005 18:51 128.757 So_Sep_25_2005.txt
25.09.2005 09:38 2.718 jfhugtr2.dat
24.09.2005 21:44 91.045 Sa_Sep_24_2005.txt
23.09.2005 21:17 107.501 Fr_Sep_23_2005.txt
22.09.2005 20:22 54.501 Do_Sep_22_2005.txt
21.09.2005 19:03 41.311 Mi_Sep_21_2005.txt
20.09.2005 19:25 38.342 Di_Sep_20_2005.txt
19.09.2005 19:45 37.467 Mo_Sep_19_2005.txt
18.09.2005 20:27 11.356 So_Sep_18_2005.txt
16.09.2005 16:36 17.886 Fr_Sep_16_2005.txt
16.09.2005 14:42 0 62pvt851.dat
16.09.2005 14:42 35 jakomgj5.ini
16.09.2005 14:42 35 hl1vdtil.ini
15.09.2005 19:31 22.421 Do_Sep_15_2005.txt
14.09.2005 19:08 45.394 Mi_Sep_14_2005.txt
13.09.2005 19:46 7.612 Di_Sep_13_2005.txt
12.09.2005 19:27 19.974 Mo_Sep_12_2005.txt
11.09.2005 18:22 73.987 So_Sep_11_2005.txt
10.09.2005 19:32 95.696 Sa_Sep_10_2005.txt
09.09.2005 21:07 86.547 Fr_Sep_09_2005.txt
08.09.2005 19:24 40.112 Do_Sep_08_2005.txt
07.09.2005 15:15 11.450 Mi_Sep_07_2005.txt
06.09.2005 20:17 11.267 Di_Sep_06_2005.txt
05.09.2005 19:18 46.263 Mo_Sep_05_2005.txt
04.09.2005 19:12 13.947 So_Sep_04_2005.txt
03.09.2005 20:14 137.088 Sa_Sep_03_2005.txt
02.09.2005 20:53 84.821 Fr_Sep_02_2005.txt
01.09.2005 14:49 7.051 Do_Sep_01_2005.txt
31.08.2005 19:52 50.326 Mi_Aug_31_2005.txt
30.08.2005 20:05 45.393 Di_Aug_30_2005.txt
29.08.2005 19:25 57.748 Mo_Aug_29_2005.txt
29.08.2005 13:27 520.968 LegitCheckControl.DLL
29.08.2005 13:27 23.304 GWFSPidGen.DLL
28.08.2005 19:50 47.904 So_Aug_28_2005.txt
27.08.2005 19:43 45.784 Sa_Aug_27_2005.txt
26.08.2005 20:44 24.735 Fr_Aug_26_2005.txt
26.08.2005 15:49 0 exploit.exe
24.08.2005 10:49 34.064 lhacm.acm
08.08.2005 12:34 3.799 jupdate-1.5.0_04-b05.log
06.08.2005 21:11 21 dpwtdaxp.dll
06.08.2005 21:11 14 dpwtpaxp.dll