Home » Viren, Trojaner & Malware Forum » hclean ballon,hgqhp.exe, NameServer = 195.95.218.35,85.255.112.11 » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4 5 6 Letzte Seite

Antworten

hclean ballon,hgqhp.exe, NameServer = 195.95.218.35,85.255.112.11

Thema ist geschlossen!

13.09.2005, 23:45

Eckart

Member

Themenstarter

Beiträge: 23

#31 Sabina Hilfe!!!!!

mir ist gerade eingefallen, dass ich ja noch die Systemwiederherstellung deaktiviert habe. (Vielleicht der Grund, warum ich immer noch einen blauen Hintergrund habe, und wareoutremover nicht so funktioniert hat wie er sollte ?!?) Wollte also wieder aktivieren, aber ich komm nicht mehr in die Systemsteuerung rein. immer Problem mit dem Explorer! Schon die Programmicons werden nicht richtig angezeigt....

Und was soll ich sonst tun??

@Horrst vielleicht wärs sinnvoll dein Problem in einen anderen Thread zu verlagern ????

13.09.2005, 23:49

Sabina

Ehrenmitglied

Beiträge: 29434

#32 Hallo@Eckart

den blauen Hintergrund hast du, weil ich den in die reg-Datei so eingestellt habe ???

denke ich mal, ist es das schoene dunkle windowsblau? Du kannst auch was anders einstellen oder geht das nicht???

mit dem wareoutremover habe ich noch nie gearbeitet, ich dachte, du laesst ihn einfach mal laufen.
Vielleicht findet er ja was.

wie steht es ansonsten? gibt es noch Meldungen vom Antivirus ???

(P.S. ich hab Horrst hier eingeladen, weil es die gleiche Verseuchung ist ,) )
__________
MfG Sabina

rund um die PC-Sicherheit

13.09.2005, 23:52

Eckart

Member

Themenstarter

Beiträge: 23

#33 Ok, hier das Log von silentrunners:
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"LDM" = "\Program\" [file not found]
"ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"Google Desktop Search" = ""C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup" [null data]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc. "]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"routcnf" = "C:\Programme\Telekom\T-Sinus 620data\routcnf.exe /capiactive" [file not found]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"PSDrvCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe" [empty string]
"PinnacleDriverCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe" [empty string]
"Omnipage" = "C:\Programme\ScanSoft\OmniPageSE\opware32.exe" ["ScanSoft, Inc"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"EM_EXEC" = "C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]
"ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"Zone Labs Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs Inc."]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
" " = "REM " [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{596AB062-B4D2-4215-9F74-E9109B0A8153}" = "Previous Versions Property Page"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\twext.dll" [file not found]
"{9DB7A13C-F208-4981-8353-73CC61AE2783}" = "Previous Versions"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\twext.dll" [file not found]
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}" = "Extensions Manager Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\extmgr.dll" [file not found]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
moveonboot_delete\(Default) = "{12B23346-6BD8-4812-BF8C-75E7C386ACB8}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\GiPo@Utilities\GiPo@MoveOnBoot\mboot.dll" ["Gibin Software House (http://www.gibinsoft.net)"]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Eckart" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string]
"ISDN Guard" -> shortcut to: "C:\Programme\AGFEO\ISDN Guard\agfguard.exe" [" "]
"Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe /start" ["Logitech"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"NETGEAR WG111T Smart Wizard" -> shortcut to: "C:\Programme\NETGEAR\WG111T Configuration Utility\wlan111t.exe" ["NETGEAR"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll [null data], 01 - 02, 08
%SystemRoot%\system32\mswsock.dll [MS], 03 - 05, 09 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [empty string]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\yhexbmes.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\ = "&Yahoo! Messenger" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\yhexbmes.dll" ["Yahoo! Inc."]

{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "Encarta &Recherche-Assistent" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\
"ButtonText" = "Messenger"
"MenuText" = "Yahoo! Messenger"
"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\yhexbmes.dll" ["Yahoo! Inc."]

{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Recherche-Assistent"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.tiscali.de

Missing lines (compared with English-language version):
[Strings]: 1 line

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Media Center Scheduler Service, ehSched, "C:\WINDOWS\ehome\ehSched.exe" [MS]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = INFECTION WARNING! "Lkbdflt2" ["Logitech, Inc."]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 34 seconds, including 4 seconds for message boxes)

und der blaue Hintergrund kommt glaub vom l2mfix....
Soll sich da wieder zurückstellen, hat es aber nicht getan...

Nein Antivir hat sich nicht mehr gemeldet....(ausser beim wareout remover)

MfG Eckart

Dieser Beitrag wurde am 13.09.2005 um 23:55 Uhr von Eckart editiert.

13.09.2005, 23:55

Sabina

Ehrenmitglied

Beiträge: 29434

#34 Hallo@Eckart

im Silentrunner scheint alles in Ordnung zu sein, und das blau kannst du doch bestimmt abaendern, oder geht es nicht?

Rechtsklick auf das Desktop-->Eigenschaften-->Desktop (oder Bildschirm) ich weiss es nicht, mein System ist in Englisch
__________
MfG Sabina

rund um die PC-Sicherheit

13.09.2005, 23:58

Eckart

Member

Themenstarter

Beiträge: 23

#35 Ne klar, das blau ist nicht wirklich das Problem.

Nur die Systemsteuerung wär vielleicht nicht schlecht....

Angenommen, es ist jetzt wieder alles sauber auf meinem PC, welche Programme hältst du für unerläßlich, damit ich nicht wieder in so ne sch... situation komm?

nachtrag:

Zitat

Eckart postete
Nur die Systemsteuerung wär vielleicht nicht schlecht....

Direkt über den Explorer ging es jetzt, nicht jedoch über Starmenü>Systemsteuerung.. "Explorer muss beendet werden...blabla,>>OK"

Dieser Beitrag wurde am 14.09.2005 um 00:05 Uhr von Eckart editiert.

14.09.2005, 00:25

Sabina

Ehrenmitglied

Beiträge: 29434

#36 Eckart

ueberpruefe bitte noch mal folgendes:

C:\Documents and Settings\All Users\Application Data\rasphone.pbk

Windowssuche:
eingeben: rasphone.pbk --> rechtsklick --> oeffnen mit -->
nimm das Haekchen raus aus" Deselect the "Always use this program to open this program" check box." (mein System ist in Englisch..ich weiss nicht, wie das auf einem dt.System heisst)

scrolle bis du zum Notepad(Texteditor) kommst --> oeffnen-->
loesche:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

abspeichern im Notepad und schliessen

Zitat

# Windows XP

1. Click Start, and then click Search.
2. Click All files and folders.
3. In the "All or part of the file name" box, type:

rasphone.pbk
4. Verify that "Look in" is set to "Local Hard Drives" or to (C.
5. Click "More advanced options."
6. Check "Search system folders."
7. Check "Search subfolders."
8. Click Search.
9. Click Find Now or Search Now.
10. If you find rasphone.pbk file, right-click the file, and then click "Open With."
11. Deselect the "Always use this program to open this program" check box.
12. Scroll through the list of programs and double-click Notepad.
13. When the file opens, delete the entries below:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

14. Close Notepad and save your changes when prompted.

und aktiviere wieder die Systemwiederherstellung
__________
MfG Sabina

rund um die PC-Sicherheit

14.09.2005, 05:48

Eckart

Member

Themenstarter

Beiträge: 23

#37 Negativ, finde diese Datei weder dort noch sonst wo auf meinem System...

MfG Eckart

14.09.2005, 09:47

Sabina

Ehrenmitglied

Beiträge: 29434

#38 Eckart

Zitat

Negativ, finde diese Datei weder dort noch sonst wo auf meinem System...

das ist gut, ich denke , Problem geloest ? UFF

Aktiviere wieder die Systemwiederherstellung.
__________
MfG Sabina

rund um die PC-Sicherheit

14.09.2005, 09:48

Sabina

Ehrenmitglied

Beiträge: 29434

#39 Hallo@Horrst

Zitat

Sabina postete
Hallo@horrst

start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
"NameServer" = "195.95.218.4,85.255.112.9"<--loeschen

HKEY_CURRENT_USER\RemoteAccess\Profile
"IP" = "02,00,00,00,00,00,00,00,c4,b0,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"<---loeschen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
\Parameters\Adapters
"NameServer" = "69.50.176.196,195.225.176.37"<--loeschen

------------------------------------------------------------------------------------

C:\Documents and Settings\All Users\Application Data\rasphone.pbk

Windowssuche:
eingeben: rasphone.pbk --> rechtsklick --> oeffnen mit -->
nimm das Haekchen raus aus" Deselect the "Always use this program to open this program" check box." (mein System ist in Englisch..ich weiss nicht, wie das auf einem dt.System heisst)

scrolle bis du zum Notepad(Texteditor) kommst --> oeffnen-->
loesche:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

abspeichern im Notepad und schliessen

Zitat
# Windows XP

1. Click Start, and then click Search.
2. Click All files and folders.
3. In the "All or part of the file name" box, type:

rasphone.pbk
4. Verify that "Look in" is set to "Local Hard Drives" or to (C.
5. Click "More advanced options."
6. Check "Search system folders."
7. Check "Search subfolders."
8. Click Search.
9. Click Find Now or Search Now.
10. If you find rasphone.pbk file, right-click the file, and then click "Open With."
11. Deselect the "Always use this program to open this program" check box.
12. Scroll through the list of programs and double-click Notepad.
13. When the file opens, delete the entries below:

"IpDnsAddress=69.50.176.196"
"IpDns2Address=192.225.176.37"
"IpNameAssign=2"

14. Close Notepad and save your changes when prompted.

http://securityresponse.symantec.com/avcenter/venc/data/pf/trojan.flush.a.html
------------------------------------------------------------------------

oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine wareout.reg auf dem Desktop)

http://virus-protect.org/reg/wareout.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "wareout.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

scannen (scanne im abgesicherten Modus ohne internetverbindung) + poste mir den Scanreport
http://virus-protect.org/ewido.html

__________
MfG Sabina

rund um die PC-Sicherheit

14.09.2005, 10:44

horrst

...neu hier

Beiträge: 10

#40 Hallo Sabina,

habe erst heute Nachmittag Zeit, das Problem weiter zu verfolgen. Muss erstmal ´ne Runde arbeiten :-( Melde mich dann aber schleunigst...

@Eckart
Glückwunsch zum scheinbar gelösten Problem. Gibt mir Hoffnung! Wollte dich auf keinen Fall verwirren oder bei der Lösung deines Problems stören - sorry, wenn ich das getan habe.

14.09.2005, 11:03

Sabina

Ehrenmitglied

Beiträge: 29434

#41 Hallo@horrst

Zitat

Wollte dich auf keinen Fall verwirren oder bei der Lösung deines Problems stören - sorry

du verwirrst mich nicht

ich hab dich ja in diesen Thread "eingeladen"
__________
MfG Sabina

rund um die PC-Sicherheit

14.09.2005, 14:29

Eckart

Member

Themenstarter

Beiträge: 23

#42 Hi@horrst!
Sorry, ich wollte dich auch nicht rauswerfen, dachte nur, dass die Übersichtlichkeit vielleicht etwas darunter leidet. Aber es ging ja...
Ich wünsch dir auch viel Erfolg! Ich glaube, bei Sabina bist du in guten Händen!

Und @Sabina!!!

Ganz herzlichen Dank für all deine Mühe und dranbleiben und mich ertragen, und die unentwegte Lösungssuche!!!!!!
Ich bin froh, dass ihr das einfach so macht!! Werde mich erkenntlich zeigen ;-)

Noch ein paar Sachen hätte ich noch:
1. Die Systemsteuerung kann ich selten öffnen, meist stürzt sie gleich ab, keine Ahnung warum, aber vielleicht weisst du wie man das fixen kann.
2. der wareout-remover hängt irgendwie noch in meinem System. Antivir meldet sich nämlich ab und an wieder mit einer Warnung vor einem Teil, das das erste Mal bei der Installation desselben erschienen ist. DAs Programm "system32\process.exe" würde die "Signatur des SPR/Processor.20-Programmes" enthalten. Ist das was schlimmes??
3. Welche Sicherheitsprogramme soll ich alle draufspielen, was braucht man alles??

MfG Eckart

Dieser Beitrag wurde am 14.09.2005 um 18:04 Uhr von Eckart editiert.

14.09.2005, 16:13

horrst

...neu hier

Beiträge: 10

#43 Hallo Sabina, nu geht´s weiter:

Ich habe gestern Abend noch 2x mit ewido gescannt und dabei folgendes mit dem Programm gelöscht (war hoffentlich nicht falsch?):

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:35:07, 13.09.2005
+ Report-Checksumme: 6B281BF1

+ Scanergebnis:

HKU\S-1-5-21-1708537768-1004336348-682003330-1005\Software\WareOut -> TrojanDownloader.Wareout : Gesäubert mit Backup
HKU\S-1-5-21-1708537768-1004336348-682003330-1005\Software\WareOut\FirstRun -> TrojanDownloader.Wareout : Gesäubert mit Backup
HKU\S-1-5-21-1708537768-1004336348-682003330-1005\Software\WareOut\Options -> TrojanDownloader.Wareout : Gesäubert mit Backup
HKU\S-1-5-21-1708537768-1004336348-682003330-1005\Software\WareOut\Registration -> TrojanDownloader.Wareout : Gesäubert mit Backup

::Report Ende

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:01:49, 13.09.2005
+ Report-Checksumme: 4C801DCE

+ Scanergebnis:

C:\!Submit\cspdd.exe -> TrojanDropper.Vidro.u : Gesäubert mit Backup
C:\!Submit\ntfsnlpa.exe -> Spyware.Msnagent : Gesäubert mit Backup

::Report Ende

Ach ja, dann hat mir ewido beim Neustart gestern noch diese sich ständig verändernde Datei C:\WINDOWS\system32\dm..... .exe gelöscht!

Von den Dateien, die du mir zu löschen geraten hast, war dann eben (also nach dem ewido-scan) nichts zu finden. Habe dann noch einmal (im abgesicherten Modus und ohne Internetverbindung) per Hijack und ewido gescannt. Ewido hatte nichts zu beanstanden, Hijack-log ist hier:

Logfile of HijackThis v1.99.1
Scan saved at 16:00:54, on 14.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Programme\ComCenter\IWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\twain_32\S6U12K\WATCH.exe
C:\Dokumente und Einstellungen\Totto\Desktop\HijackThis\1_99_1.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126008246262
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE

Mache jetzt gleich noch einmal den Silent runner und poste dir das dann auch gleich noch mal...

bis später, puh

...und hier bin ich schon wieder. Hier der silent runner von eben:

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Gtwatch" = "C:\WINDOWS\gtwatch.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe" ["HP"]
"(Default)" = (empty string)
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}
"(Default)" = (empty string)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"]
"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siemens Data Suite\DES\DESShellExt.dll" ["Siemens AG"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOKUME~1\...\EIGENE~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Startup items in "Totto" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ISDNWatch" -> shortcut to: "C:\Programme\ComCenter\IWatch.exe" ["AVM Berlin"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Watch" -> shortcut to: "C:\WINDOWS\twain_32\S6U12K\WATCH.exe" ["Common Group"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
PCTEL Speaker Phone, Pctspk, "C:\WINDOWS\system32\pctspk.exe" ["PCtel, Inc."]
ScsiAccess, ScsiAccess, "C:\WINDOWS\System32\ScsiAccess.EXE" [null data]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 50 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 19 seconds.
---------- (total run time: 108 seconds)

@Eckart
hatte ich auch nicht anders empfunden, is schon ok...

Dieser Beitrag wurde am 14.09.2005 um 16:26 Uhr von horrst editiert.

14.09.2005, 16:33

Sabina

Ehrenmitglied

Beiträge: 29434

#44 Hallo@horrst

ich kann nichts mehr finden, aber wir werden auf Nummer sicher gehen...mache bitte 2 Onlinescans: Panda und Kaspersky und berichte

http://virus-protect.org/index.html

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

14.09.2005, 16:36

Sabina

Ehrenmitglied

Beiträge: 29434

#45 Hallo Eckart

1. wareout_remover --> Symbol anklicken (ist die wareout_remover.exe) --> rechtsklick--> loeschen (oder die exe suchen und loeschen)

2.Protokolldatei unter Start - Einstellungen - Systemsteuerung - Verwaltung - Ereignisanzeige.

Hier prüfe auffällige Meldungen unter Anwendung und System.
_________________
Beispiel:
Ereignistyp: Fehler
Ereignisquelle: Application Hang
...
..
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4 5 6 Letzte Seite