Home » Viren, Trojaner & Malware Forum » lop entfernen? + O4 - HKCU\..\Run: [Microsoft DirectX] rasmngr.exe » Themenansicht

lop entfernen? + O4 - HKCU\..\Run: [Microsoft DirectX] rasmngr.exe
#0
13.09.2005, 18:17
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16

Zitat

melaberlin postete
hallo sabrina,

ähm noch eine bitte sagst du mir wo ich c:/C:/ .... finde?
also die anderen dateien und unterordner habe ich gefunden aber erst kleines c und dann C da weiß ich nicht wo das ist bzw wie ich das finden soll ;)
danke dir mela
Klar, das gibt es nicht, da hab ich mich beim Umkopieren vertan ;)

Zitat

C:/

C:\Dokumente und Einstellungen\ingo\Eigene Dateien\MP3
C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Admin Stupid Body
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BoldPokeBagsStart


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 18:43
Marcus77
...neu hier

Beiträge: 7
#17 Hallo Sabina!

Habe ein Problem, habe im Forum schon ne Menge gelesen, komme aber nicht weiter:

http://board.protecus.de/t15583.htm

nun das KOMPLETTE Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:45, on 13.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\eaopaaaa.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WUSB54G Wireless-G Adapter\WLService.exe
C:\Programme\WUSB54G Wireless-G Adapter\WUSB54G.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Marcus\Desktop\test\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O23 - Service: kernel32dll (0) - Unknown owner - C:\WINDOWS\System32\guardpc.exe" -netsvcs (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\windowsupdate.exe" -netsvcs (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NICSer_WPC54G - Unknown owner - C:\Program Files\Linksys\Wireless-G Notebook Adapter\NICServ.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WUSB54GSVC - Unknown owner - C:\Programme\WUSB54G Wireless-G Adapter\WLService.exe" "WUSB54G.exe (file missing)


Was muss ich tun, das mein IE (bes. Google) wieder funktioniert?

BITTE HILF MIR!

Gruß,
marcus
marcus.hentschel@gmx.de
Seitenanfang Seitenende
13.09.2005, 19:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Hallo@Markus77

LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"-->Remove
und loesche die flsmngr.dll
(eventuell musst du die dll von links nach rechts bringen)

CCleaner--> loesche alle *temp-Datein -- alles anhaken
http://virus-protect.org/temp.html


Download Registry Search Tool :

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren

MSPatch

kernel32dll (0)

kernel32dll

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

abarbeiten, es sind 4 Logs, die du hier posten musst (bitte mit Pfadangabe oben)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
wenn du gefragt wirst, ob reboot, klicke Yes
nun findet man eine Textdatei auf dem Desktop: (poste sie hier)

.....................
C:\WINDOWS\System32\eaopaaaa.exe
C:\WINDOWS\System32\windowsupdate.exe
C:\WINDOWS\System32\guardpc.exe
+
CWS/SearchAnyway Search Hijacker
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2005, 19:37
Marcus77
...neu hier

Beiträge: 7
#19 An diesem Punkt komme ich nicht weiter!

Download Registry Search Tool :

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren

MSPatch

kernel32dll (0)

kernel32dll

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

---> muss ich die MSPatch
kernel32dll (0)
kernel32dll
zusammen eingehen, oder nacheinander?
Norton schimpft sofort (bösartiges Skript!)

Wie geht es an der Stelle weiter?
Danke schonmal für deine HILFE!
Marcus
Seitenanfang Seitenende
13.09.2005, 19:38
melaberlin
Member

Themenstarter

Beiträge: 43
#20 hallo sabina, habe übersehen das es inzwischen auf seite 2 weiterging lach habe daher meinen letzten beitrag auf seite 1 editiert und mein log (escan dort reingestellt)

nun habe ich immernoch ein problem ich finde C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\adminstrator\01 site media.exe das nicht
nach anwendungsdaten die gibt es keinen administrator sondern nur admin stupid body und dann creativ tool ! ???

wenn ich 01 site media.exe in der suche eingebe liegt es auf den pfad C:/Windows/Prefetch soll ich das dann löschen?

<< scheint sich wirklich dumm anzustellen ;)

MfG mela

ps: freu freu beim escan statt 250 nur noch 78 vieren gefunden ;o)
aber wie sagt man mühsam ernährt sich das eichhörnchen *hehe*
Dieser Beitrag wurde am 13.09.2005 um 19:47 Uhr von melaberlin editiert.
Seitenanfang Seitenende
13.09.2005, 19:44
Marcus77
...neu hier

Beiträge: 7
#21 Ergebnisse von regsrch.vbs

MSPatch:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSPATCH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSPATCH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSPATCH\0000]
"Service"="MSPatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSPatch]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSPatch\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSPATCH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSPATCH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSPATCH\0000]
"Service"="MSPatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSPatch]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSPatch\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSPATCH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSPATCH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSPATCH\0000]
"Service"="MSPatch"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MSPatch]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MSPatch\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MSPatch\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MSPatch\Enum]
"0"="Root\\LEGACY_MSPATCH\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSPATCH]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSPATCH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSPATCH\0000]
"Service"="MSPatch"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSPatch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSPatch\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSPatch\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSPatch\Enum]
"0"="Root\\LEGACY_MSPATCH\\0000"

Ergebnisse von kernel32dll (0):

not found ??

Ergebnisse von kernel32dll :


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kernel32dll]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_0\0000]
"DeviceDesc"="kernel32dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\0]
"DisplayName"="kernel32dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_0\0000]
"DeviceDesc"="kernel32dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\0]
"DisplayName"="kernel32dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_0\0000]
"DeviceDesc"="kernel32dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\0]
"DisplayName"="kernel32dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_0\0000]
"DeviceDesc"="kernel32dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\0]
"DisplayName"="kernel32dll"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"kernel32dll"="guardpc.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"kernel32dll"="guardpc.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"kernel32dll"="guardpc.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"kernel32dll"="guardpc.exe"

Also das habe ich dabei schon mal rausbekommen...
versuche das nächste jetzt...
kommt gleich!

da....

Download f-secure-Beta Trial

09/13/05 20:16:04 [Info]: BlackLight Engine 1.0.23 initialized
09/13/05 20:16:04 [Info]: OS: 5.1 build 2600 ()
09/13/05 20:16:04 [Note]: 4019 0
09/13/05 20:16:04 [Note]: 4019 1
09/13/05 20:16:04 [Note]: 4019 2
09/13/05 20:16:04 [Note]: 4019 3
09/13/05 20:16:04 [Note]: 4019 4
09/13/05 20:16:04 [Note]: 4005 0
09/13/05 20:16:10 [Note]: 4006 0
09/13/05 20:16:10 [Note]: 4011 1636
09/13/05 20:16:10 [Note]: FSRAW library version 1.7.1011
09/13/05 20:20:41 [Note]: 4007 0


abarbeiten, es sind 4 Logs, die du hier posten musst (bitte mit Pfadangabe oben)
http://virus-protect.org/datfindbat.html

da stürzt mein IE ab!!!

Wie gehts weiter???
Danke!
Dieser Beitrag wurde am 13.09.2005 um 20:22 Uhr von Marcus77 editiert.
Seitenanfang Seitenende
14.09.2005, 00:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Lade die datFind.bat :
http://virus-protect.org/bat/datFind.bat

- Suche auf dem Desktop die datfind.bat
- doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ca. 20 Tage ab und in deinen Thread.

das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 20 Tage (ist nach Datum geordnet ) ab und kopiere es in deinen Thread.

(es sind 4 Logs)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2005, 01:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Hallo@melaberlin

ja, ja, da habe ich aus Admin...einen Administrator gemacht und im Endeffekt ist es der Virus , der sich schimpft:

Zitat

admin stupid body
--> der ist natuerlich zu loeschen ;)

C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Admin Stupid Body

Zitat

C:\Dokumente und Einstellungen\ingo\Eigene Dateien\MP3
C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Admin Stupid Body
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BoldPokeBagsStart
uebrigens soll man nie als Administrator surfen, sondern immer im eingeschraenkten Benutzerkonto ;)
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2005, 12:39
Marcus77
...neu hier

Beiträge: 7
#24 Hallo SABINA!

Habe gestern Abend einfach mal in Windows (System32) ein paar (für mich störende) Dateien gelöscht und schon ging GOOGLE wieder.
Dann noch etwas in der Systemregistrierung gelöscht... ehrlich gesagt habe ich Roulette gespielt, was mir aber egal...

Anbei jetzt nochmal das hier, schreib mal, was du denkst...
würde gerne noch mehr aufräumen, oder löschen... bin mir nicht sicher, was manche Dinge da zu suchen haben:

Logfile of HijackThis v1.99.1
Scan saved at 12:30:12, on 14.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WUSB54G Wireless-G Adapter\WLService.exe
C:\Programme\WUSB54G Wireless-G Adapter\WUSB54G.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Dokumente und Einstellungen\Marcus\Desktop\test\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O23 - Service: kernel32dll (0) - Unknown owner - C:\WINDOWS\System32\guardpc.exe" -netsvcs (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\windowsupdate.exe" -netsvcs (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NICSer_WPC54G - Unknown owner - C:\Program Files\Linksys\Wireless-G Notebook Adapter\NICServ.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WUSB54GSVC - Unknown owner - C:\Programme\WUSB54G Wireless-G Adapter\WLService.exe" "WUSB54G.exe (file missing)

Habe dir die FETT markiert, wo ich nicht weiß, ob ich die einfach aus der Systemregistrierung löschen kann/soll....
oder was würdest du damit machen??

DANKE!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
der Marcus
Seitenanfang Seitenende
14.09.2005, 13:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Hallo@Marcus77

solange du nicht meine Anweisungen ausfuehrst und "Roulette" spielst....keine neuen Anweisungen...

Zitat

abarbeiten, es sind 4 Logs, die du hier posten musst (bitte mit Pfadangabe oben)
http://virus-protect.org/datfindbat.html
danach kommt noch mehr, aber wie gesagt...nichts eigenmaechtiges, wenn du mich schon um Hilfe bittest....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2005, 15:39
Marcus77
...neu hier

Beiträge: 7
#26 Datentäger in Laufwerk C: ist ACER
Volumeseriennummer: CCC3-912F

Verzeichnis von C:\WINDOWS\system32

13.09.2005 21:04 8.704 Thumbs.db
13.09.2005 19:51 48.640 flsmngr.dll
13.09.2005 13:12 2.184 wpa.dbl
13.09.2005 08:44 664 d3d9caps.dat
11.09.2005 15:46 12.288 shdocnv.dll
11.09.2005 15:46 43.520 desktop.exe
11.09.2005 15:46 0 _plastilin_
11.09.2005 15:46 3.072 gllfklnw.exe
11.09.2005 15:46 8.294 kmjencyq.exe
11.09.2005 15:45 599.552 wininet.dll
03.08.2005 22:46 116.560 FNTCACHE.DAT
28.07.2005 14:52 91.856 S32EVNT1.DLL
13.07.2005 13:47 305.652 perfh009.dat
13.07.2005 13:47 38.094 perfc009.dat
13.07.2005 13:47 310.384 perfh007.dat
13.07.2005 13:47 46.068 perfc007.dat
11.07.2005 09:42 34.064 lhacm.acm
01.06.2005 17:37 3.069 jupdate-1.5.0_02-b09.log
24.05.2005 20:55 43.520 CmdLineExt03.dll
05.04.2005 22:38 3.147 qtplugin.log
05.04.2005 11:17 517.848 SymNeti.dll
05.04.2005 11:17 132.824 SymRedir.dll
27.03.2005 07:59 723.744 PerfStringBackup.INI
04.03.2005 03:36 127.078 javaws.exe
04.03.2005 03:36 49.265 jpicpl32.cpl
04.03.2005 02:07 49.250 javaw.exe
04.03.2005 02:06 49.248 java.exe
01.03.2005 19:39 3.243 jupdate-1.4.2_06-b03.log
03.02.2005 20:08 16.832 amcompat.tlb
03.02.2005 20:08 23.392 nscompat.tlb
27.01.2005 15:39 466.944 capicom.dll


Datentäger in Laufwerk C: ist ACER
Volumeseriennummer: CCC3-912F

Verzeichnis von C:\DOKUME~1\Marcus\LOKALE~1\Temp

der ist leer !!!


Datentäger in Laufwerk C: ist ACER
Volumeseriennummer: CCC3-912F

Verzeichnis von C:\WINDOWS

14.09.2005 12:24 159 wiadebug.log
14.09.2005 12:24 50 wiaservc.log
14.09.2005 12:24 0 0.log
14.09.2005 12:24 2.048 bootstat.dat
14.09.2005 12:23 32.480 SchedLgU.Txt
14.09.2005 12:22 469 system.ini
14.09.2005 12:22 619 win.ini
14.09.2005 12:22 116 NeroDigital.ini
11.09.2005 15:45 35.840 fffoojc.exe
11.09.2005 14:58 1.409 QTFont.for
11.09.2005 14:58 54.156 QTFont.qfn
22.08.2005 13:14 590 WISO.INI
03.08.2005 13:20 403 ODBC.INI
28.07.2005 18:33 38 popcinfo.dat
19.07.2005 12:24 17 Missing.ini
15.05.2005 17:09 33 cdplayer.ini
10.05.2005 18:59 21 TemplateWizard.INI
30.03.2005 10:38 30 TDF.DII
30.03.2005 10:38 2.942 tm.ini
03.02.2005 20:07 316.640 WMSysPr9.prx
07.12.2004 22:32 2.395 VWORK32.INI



Datentäger in Laufwerk C: ist ACER
Volumeseriennummer: CCC3-912F

Verzeichnis von C:\

14.09.2005 15:44 0 sys.txt
14.09.2005 15:44 4.284 system.txt
14.09.2005 15:42 125 systemtemp.txt
14.09.2005 15:40 96.313 system32.txt
14.09.2005 12:24 804.495.360 pagefile.sys
14.09.2005 12:22 194 boot.ini
13.09.2005 20:49 0 23990098.$$$
20.08.2005 21:27 6 ISACER.ID
02.11.2004 09:57 0 AUTOEXEC.BAT

So, habe ich gemacht!

Wie geht es weiter?????
Danke dir wie immer vielmals! Kann man echt nicht wiedergutmachen...
Dieser Beitrag wurde am 14.09.2005 um 15:45 Uhr von Marcus77 editiert.
Seitenanfang Seitenende
14.09.2005, 17:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 Hallo@Marcus77

KB835732.EXE im Windows-Systemordner <---suchen (findest du sie exe ????)

oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine kernel.reg auf dem Desktop)
http://virus-protect.org/reg/kernel.reg

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O23 - Service: kernel32dll (0) - Unknown owner - C:\WINDOWS\System32\guardpc.exe" -netsvcs (file missing)
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\windowsupdate.exe" -netsvcs (file missing)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\shdocnv.dll
C:\WINDOWS\System32\guardpc.exe
C:\WINDOWS\System32\windowsupdate.exe
C:\WINDOWS\system32\desktop.exe
C:\WINDOWS\system32\_plastilin_
C:\WINDOWS\system32\gllfklnw.exe
C:\WINDOWS\fffoojc.exe
C:\WINDOWS\system32\kmjencyq.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "kernel.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

smitRem TOOL (Entfernungstool)-->poste den Scanreport
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

wieder im Normalmodus.
lade escan
http://virus-protect.org/escan.html
und poste mir, was angezeigt wird ( das ist nun die arbeit, um die LOP-Verseuchung wegzubekommen)
danach gibt es noch anderes zu tun. ;)

Zitat

---------------
????
http://www.f-secure.de/v-desk/sdbot_md.shtml

W32/FORBOT-CU
C:\WINDOWS\System32\guardpc.exe
O23 - Service: kernel32dll (0) - Unknown owner - C:\WINDOWS\System32\guardpc.exe" -netsvcs (file missing)
http://www.sophos.com/virusinfo/analyses/w32forbotcu.html

W32/Forbot-BJ
http://www.sophos.de/virusinfo/analyses/w32forbotbj.html
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\windowsupdate.exe" -netsvcs (file missing)
Fluten eines Remote-Hosts (entweder über ping oder HTTP)
Starten eines SOCKS4-Proxyservers
Starten eines HTTP -Servers
Starten eines FTP-Servers
Portscan zufällig ausgewählter IP-Adressen
Ausführen willkürlicher Befehle
Stehlen von Informationen, wie Kennwörtern und Produktschlüsseln
Hochladen/Herunterladen von Dateien

Der Wurm kann sich auf nicht gepatchte Computer verbreiten, die von der LSASS-Schwachstelle (siehe MS04-011) betroffen sind.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2005, 17:40
Marcus77
...neu hier

Beiträge: 7
#28 Also die KB835732.EXE finde ich nicht....
nicht manuell und auch nicht mit suche durch windows...
mach ich was falsch???
Seitenanfang Seitenende
14.09.2005, 17:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 Hallo@Marcus77

nein, es war nur eine Annahme ;)
..du solltest formatieren, der PC ist total verseucht..................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2005, 20:29
melaberlin
Member

Themenstarter

Beiträge: 43
#30 hallo sabina

und wieder habe ich ein problem ;)

--> der ist natuerlich zu loeschen

C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Admin Stupid Body

das ist schön den denn habe ich gefunden ;)
aber der lässt sich nicht löschen es steht kann nicht gelöscht werden wird zur zeit von einem anderem programm oder so genutz ;)( was mach ich denn nu?
ich hoffe du hast wiedermal einen netten tip für mich ;)
btw danke das du mich schon bis hierher gelotst hast
MfG mela

jippie habe es allein geschafft ;)

und nu? bin ich jetzt vieren,- wurm,- und trojanerfrei??
oder kommen noch weitere schritte?
stoßgebet zum himmel schick das der spuk nu ein ende hat ;)
*hehe*
dk dir im voraus
MfG mela
Dieser Beitrag wurde am 14.09.2005 um 20:34 Uhr von melaberlin editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234