Meldung "Your computer might be infected..."

#0
16.09.2005, 23:55
...neu hier

Beiträge: 1
#1 Hallo,
heute Mittag hat sich mein PC mit irgendetwas infiziert. Ich würde es gerne vermeiden zu formatieren, da ich keinen DVD Brenner habe und rund 30-40 GB Daten retten müßte.

Meine Probleme:
1. Startseite lauter about:about und lässt sich nicht mehr ändern.

2. AntiVir Guard bringt mir alle paar Minuten eine Virusmeldung:

Zitat

C:\WINDOWS\SYSTEM32\WININET.DLL
Enthält Code des Windows-Virus W32/Nsag.B


3. Der Dektop ist schwarz, mit Schriftzug "Warning your computer might be infected with spyware or adware!!! [...]"

4. Es öffnen sich andauernd Popups.

Ich habe daraufhin erstmal Spybot und AntiVir laufen lassen (aktualisiert). Es
wurde einiges gefunden und entfernt, allerdings nicht mein Problem.
Da ich nicht fit bin auf dem Gebiet, habe ich ersteinmal recherchiert. Ich habe allerdings keine direkte Lösung gefunden, nur Beiträge die Hijack "Logs" enthalten. Und Hinweisen welche Häckechen man anklicken muß und weitere Schritte. Also habe ich auch Hijack installiert und laufen lassen. Jedoch sieht mein Logfile anders aus, als die geposteten und nun bin ich mir unsicher, was ich genau anklicken muss, weitere Schritte, usw.

Ich würde mich freuen, wenn mir hier jemand helfen könnte.

Hier mein Hijack Logfile:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 23:29:23, on 16.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\svchost.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\msole32.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\TPPALDR.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
D:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\Downloads\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/2000/white_pages.html
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpE3B8.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - D:\PROGRA~1\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O4 - HKCU\..\Run: [SYSfit] C:\WINDOWS\SYSfit.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/18c04205ed35bda03405/netzip/RdxIE601_de.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6D5FCFCB-FA6C-4CFB-9918-5F0A9F7365F2} (GigexCtrl ActiveX) - http://www.gigex.com/tv/igor/gigexagent.dll
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CF051549-EDE1-40F5-B440-BCD646CF2C25} (Ppinstall Control) - http://www.163.com/wwwimages/sms/ppinstall22.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0296C49A-1839-4442-8B25-5BB65A0AEA19}: NameServer = 85.255.113.147,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{49E849FF-DE03-457B-A22C-8CBED2359D01}: NameServer = 85.255.113.147,85.255.112.24
O20 - Winlogon Notify: WB - D:\PROGRA~1\WINDOW~1\fastload.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)
Seitenanfang Seitenende
17.09.2005, 00:07
...neu hier

Beiträge: 7
#2 Ich hatte dasselbe Problem, nun jedoch, nach dem Löschen und Deinstallieren einiger neuen Dateien und unerwünschten Programmen funktioniert alles wieder bis auf die Tatsache, dass sich der Desktophintergrund nicht mehr aktualisieren lässt und die Trojanerwarnung anstatt des Bildes angezeigt wird.

Wie kann ich das Desktopbild wieder ändern?
Muss ich da was in der Registry fixen? (Falls ja, wo genau? Ich kenne mich da überhaupt nicht aus)
_________________________________________________________________

An Markus123:
Vielleicht hilft Ihnen das hier weiter: http://board.protecus.de/t18646.htm
Seitenanfang Seitenende
17.09.2005, 17:39
Member
Avatar Gool

Beiträge: 4730
#3 Hallo Markus,

starte HijackThis (HJT) und klicke "do a system scan only". Setze vor folgende Einträge ein Häkchen und klicke anschließens "fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpE3B8.tmp (file missing)
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O4 - HKCU\..\Run: [SYSfit] C:\WINDOWS\SYSfit.exe
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6D5FCFCB-FA6C-4CFB-9918-5F0A9F7365F2} (GigexCtrl ActiveX) - http://www.gigex.com/tv/igor/gigexagent.dll
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {CF051549-EDE1-40F5-B440-BCD646CF2C25} (Ppinstall Control) - http://www.163.com/wwwimages/sms/ppinstall22.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0296C49A-1839-4442-8B25-5BB65A0AEA19}: NameServer = 85.255.113.147,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{49E849FF-DE03-457B-A22C-8CBED2359D01}: NameServer = 85.255.113.147,85.255.112.24

Killbox:
http://virus-protect.org/killbox.html
Aktiviere "Delete on Reboot". Füge folgendes in das Eingabefeld ein und bestätige jew. mit Klick rechts auf das Kreuz. Die Frage, ob jetzt ein Neustart durchgeführt werden soll, erst nach der letzten Datei mit JA beantworten.

C:\WINDOWS\SYSfit.exe
C:\Programme\DR_S\DR_S.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\hpE3B8.tmp
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe

Der PC wird neugestartet.

CCleaner: lösche alle temporären Datein
http://virus-protect.org/temp.html


smitRem:
http://noahdfear.geekstogo.com/
Entpacken, ins smitRem-Verzeichnis gehen und RunThis.bat ausführen. Ergebnis bitte hier posten.

Lade datfind.bat
http://virus-protect.org/datfindbat.html
Poste uns aus den Log-Dateien die Einträge der vergangenen 20 Tage (vor jedem Eintrag steht ein Datum).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.09.2005, 17:40
Member
Avatar Gool

Beiträge: 4730
#4 @Chris.M
Weißt Du, dass Du alle Dateien los bist? Ggf. erstelle auch mal ein HJT-Log.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.09.2005, 19:07
...neu hier

Beiträge: 7
#5 Logfile of HijackThis v1.99.1
Scan saved at 19:07:08, on 17.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
D:\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\DE-CH\MSNAPPAU.EXE
D:\ANTIVIRPE\AVGCTRL.EXE
C:\WINDOWS\RunDLL.exe
D:\OFFICE\OSA.EXE
C:\PROGRAMME\MSI\PC ALERT 4\PCALERT4.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\KAZAA LITE K++\KAZAALITE.KPP
D:\WINAMP\WINAMP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
H:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/WINDOWS/Desktop/Links.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=18463
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRAMME\TEXTWARE\QUICKFIND\PLUGINS\IEHELP.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE-CH\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE-CH\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [OmgStartup] C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.03.0000.1005\de-ch\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\ANTIVIRPE\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Office Startup.lnk = D:\Office\OSA.EXE
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: Microsoft Find Fast.lnk = D:\Office\FINDFAST.EXE
O4 - Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.2.17.61,62.2.24.158,61.2.17.60
O20 - Winlogon Notify: style32 - C:\WINDOWS\Q106762_DISK.DLL (file missing)

___________________________________________________________________

Ich bin mir ziemlich sicher, dass alle Dateien des Virus weg sind, aber vielleicht täusche ich mich ja. Auf jeden Fall habe ich alle Daten, die um die Zeit erstellt wurden, als der Virus den Computer angriff, gelöscht bzw. deinstalliert; mein Vater hat dabei geholfen und er ist auch der Meinung, die Lösung des Problems in der Registry zu finden.
Seitenanfang Seitenende
17.09.2005, 23:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Chris.M

der PC ist weiterhin verseucht:

*reg-Datei
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
dann erscheint eine smitfraud.reg auf dem Desktop
Die Datei "smitfraud.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=18463
O20 - Winlogon Notify: style32 - C:\WINDOWS\Q106762_DISK.DLL (file missing)

und sofort den PC neustarten.

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten
Dort fügst Du ein und speicherst:

@echo off
cd\
cd %windir%\system
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\win.txt
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
exit


Ausführen!
Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2005, 14:36
...neu hier

Beiträge: 7
#7 sys.txt:

SYSTEM TXT 78'961 18.09.05 14:36 system.txt
SYSTEM~1 TXT 1'672 18.09.05 14:36 systemtemp.txt
WIN TXT 20'076 18.09.05 14:36 win.txt
SYS TXT 0 18.09.05 14:36 sys.txt
LOG TXT 68 16.09.05 16:45 log.txt
LOGFILE TXT 34'550 15.09.05 20:06 Logfile.txt
SCANDISK LOG 166'721 15.09.05 18:49 SCANDISK.LOG
________________________________________________________________

system.txt:

FFASTLOG TXT 24'020 18.09.05 14:34 FFASTLOG.TXT
NVAPPS XML 0 18.09.05 14:01 NvApps.xml
SINTF16 DLL 12'067 18.09.05 11:21 SIntf16.dll
SINTF32 DLL 19'924 18.09.05 11:21 SIntf32.dll
SINTFNT DLL 24'516 18.09.05 11:21 SIntfNT.dll
WPPP~1 HTM 1'621 15.09.05 20:05 wppp.html
DBMSSOCN DLL 28'944 13.09.05 20:10 dbmssocn.dll
DBMSVINN DLL 28'944 13.09.05 20:10 dbmsvinn.dll
MSEXCH40 DLL 499'984 13.09.05 20:10 msexch40.dll
MSJTER40 DLL 53'520 13.09.05 20:10 msjter40.dll
MSRD2X40 DLL 422'160 13.09.05 20:10 msrd2x40.dll
MSXBDE40 DLL 229'648 13.09.05 20:10 msxbde40.dll
ODBCBCP DLL 24'848 13.09.05 20:10 odbcbcp.dll
ODBC32GT DLL 24'848 13.09.05 20:10 odbc32gt.dll
MSJETO~1 DLL 348'432 13.09.05 20:10 msjetoledb40.dll
ODBCCONF RSP 30 13.09.05 20:10 odbcconf.rsp
ODBC32 DLL 217'360 13.09.05 20:10 odbc32.dll
ODBCCP32 DLL 102'672 13.09.05 20:10 odbccp32.dll
ODBCCR32 DLL 196'880 13.09.05 20:10 odbccr32.dll
ODBCAD32 EXE 37'136 13.09.05 20:10 odbcad32.exe
DS32GT DLL 24'848 13.09.05 20:10 ds32gt.dll
ODBCCONF EXE 77'824 13.09.05 20:10 odbcconf.exe
12520850 CPX 2'233 13.09.05 20:10 12520850.cpx
12520437 CPX 2'151 13.09.05 20:10 12520437.cpx
CLICONFG EXE 37'136 13.09.05 20:10 cliconfg.exe
??????????????
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPASERV.T
DBMSRPCN DLL 28'944 13.09.05 20:10 dbmsrpcn.dll
DBMSSPXN DLL 33'040 13.09.05 20:10 dbmsspxn.dll
DBNMPNTW DLL 33'040 13.09.05 20:10 dbnmpntw.dll
INSTCAT SQL 616'401 13.09.05 20:10 instcat.sql
MSJTES40 DLL 241'936 13.09.05 20:10 msjtes40.dll
EXPSRV DLL 379'152 13.09.05 20:10 expsrv.dll
MSJET40 DLL 1'499'408 13.09.05 20:10 msjet40.dll
MSWDAT10 DLL 831'760 13.09.05 20:10 mswdat10.dll
MSRD3X40 DLL 315'664 13.09.05 20:10 msrd3x40.dll
MSREPL40 DLL 553'232 13.09.05 20:10 msrepl40.dll
MSEXCL40 DLL 323'856 13.09.05 20:10 msexcl40.dll
MSLTUS40 DLL 213'264 13.09.05 20:10 msltus40.dll
MSPBDE40 DLL 286'992 13.09.05 20:10 mspbde40.dll
MSTEXT40 DLL 250'128 13.09.05 20:10 mstext40.dll
MSDATSRC TLB 12'288 13.09.05 20:10 msdatsrc.tlb
ODBCCP32 CPL 41'232 13.09.05 20:10 odbccp32.cpl
MSORCL32 DLL 160'016 13.09.05 20:10 msorcl32.dll
MSJINT40 DLL 180'496 13.09.05 20:10 msjint40.dll
MSWSTR10 DLL 614'672 13.09.05 20:10 mswstr10.dll
MSCPXL32 DLL 14'336 13.09.05 20:10 mscpxl32.dll
CLICONFG DLL 61'712 13.09.05 20:10 cliconfg.DLL
CLICONF HLP 36'256 13.09.05 20:10 cliconf.hlp
DBMSSHRN DLL 33'040 13.09.05 20:10 dbmsshrn.dll
SQLSRV32 DLL 528'656 13.09.05 20:10 sqlsrv32.dll
ODBCINT DLL 102'400 13.09.05 20:10 odbcint.dll
ODBCJI32 DLL 57'616 13.09.05 20:10 odbcji32.dll
ODFOX32 DLL 20'752 13.09.05 20:10 odfox32.dll
REDIST RSP 1'467 13.09.05 20:10 redist.rsp
ODBCCU32 DLL 200'976 13.09.05 20:10 odbccu32.dll
ODBCTRAC DLL 155'920 13.09.05 20:10 odbctrac.dll
SQLWOA DLL 49'424 13.09.05 20:10 sqlwoa.dll
SQLSTR DLL 119'056 13.09.05 20:10 sqlstr.dll
SQLWID DLL 24'848 13.09.05 20:10 sqlwid.dll
ODDBSE32 DLL 20'752 13.09.05 20:10 oddbse32.dll
ODEXL32 DLL 20'752 13.09.05 20:10 odexl32.dll
ODPDX32 DLL 20'752 13.09.05 20:10 odpdx32.dll
ODTEXT32 DLL 20'752 13.09.05 20:10 odtext32.dll
SQLSODBC HLP 17'777 13.09.05 20:10 sqlsodbc.hlp
VFPODBC DLL 988'432 13.09.05 20:10 vfpodbc.dll
MTXOCI DLL 87'312 13.09.05 20:09 mtxoci.dll
________________________________________________________________

systemtemp.txt:

~DFB600 TMP 1'536 18.09.05 14:35 ~DFB600.TMP
~DFC648 TMP 1'506'816 18.09.05 14:33 ~DFC648.TMP
~DF29F5 TMP 1'506'816 18.09.05 14:28 ~DF29F5.TMP
~DF9DD8 TMP 1'506'816 18.09.05 13:49 ~DF9DD8.TMP
SINTFICN ANI 4'592 18.09.05 11:21 SIntfIcn.ani
CMDLIN~1 DLL 36'864 18.09.05 11:21 CmdLineExt02.dll
~DFA567 TMP 1'506'816 18.09.05 1:38 ~DFA567.TMP
JAVA_I~1 LOG 1'664 18.09.05 0:10 java_install_reg.log
~DF9A63 TMP 1'506'816 17.09.05 21:14 ~DF9A63.TMP
~DF900F TMP 1'506'816 17.09.05 11:25 ~DF900F.TMP
~DF7FD8 TMP 1'506'816 17.09.05 0:49 ~DF7FD8.TMP
~DF8E2C TMP 1'506'816 16.09.05 7:18 ~DF8E2C.TMP
~DF8C9B TMP 1'506'816 15.09.05 23:21 ~DF8C9B.TMP
~DF8E72 TMP 1'506'816 15.09.05 22:37 ~DF8E72.TMP
~DF99D0 TMP 1'506'816 15.09.05 21:48 ~DF99D0.TMP
~DF9029 TMP 1'506'816 15.09.05 21:42 ~DF9029.TMP
~DFAB07 TMP 1'506'816 15.09.05 21:37 ~DFAB07.TMP
~DF8DFE TMP 1'506'816 15.09.05 21:35 ~DF8DFE.TMP
~DF9809 TMP 1'506'816 15.09.05 21:29 ~DF9809.TMP
~DF9BE4 TMP 1'506'816 15.09.05 21:27 ~DF9BE4.TMP
~DFA177 TMP 1'506'816 15.09.05 21:25 ~DFA177.TMP
~DFAA42 TMP 1'506'816 15.09.05 21:06 ~DFAA42.TMP
~DF9E12 TMP 1'506'816 15.09.05 20:29 ~DF9E12.TMP
~DFB058 TMP 1'506'816 15.09.05 20:05 ~DFB058.TMP
________________________________________________________________

win.txt:

SYSTEM DAT 6'524'960 18.09.05 14:36 SYSTEM.DAT
USER DAT 1'495'072 18.09.05 14:36 USER.DAT
SYSTEM INI 2'519 18.09.05 14:34 SYSTEM.INI
NDISLOG TXT 0 18.09.05 14:34 NDISLOG.TXT
WAVEMIX INI 54 18.09.05 13:54 WAVEMIX.INI
POWERPNT INI 60 18.09.05 13:54 POWERPNT.INI
WIN INI 8'393 18.09.05 13:53 WIN.INI
WINAMP INI 1'125 18.09.05 0:18 winamp.ini
OUTLOOK PST 1'146'880 16.09.05 23:59 outlook.pst
WININIT BAK 212 16.09.05 23:46 WININIT.BAK
PCF INI 0 16.09.05 23:46 PCF.INI
OFFITEMS LOG 4'096 15.09.05 22:43 offitems.log
HPDSKJET P07 5'235 15.09.05 19:46 HPDSKJET.P07
DIRECTX LOG 94'221 13.09.05 20:11 DirectX.log
ODBCINST INI 1'626 13.09.05 20:11 ODBCINST.INI
DASETUP LOG 106'058 13.09.05 20:11 dasetup.log
WMSYSPR9 PRX 316'640 13.09.05 20:08 WMSysPr9.prx
Seitenanfang Seitenende
18.09.2005, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

C:\WINDOWS\SYSTEM\wppp.html <--loeschen

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM\cliconfg.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten


WININIT.BAK-->rechtsklick--> schreibe mir, was du in der bak findest

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/

doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop:poste sie mir

scanne mit Kaspersky und berichte vom scan
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2005, 15:41
...neu hier

Beiträge: 7
#9 Uff, das sind ja Megamassnahmen nur wegen eines Virus...

Virustotal:
(überall kein virus gefunden)

Antivirus Version Update Result
AntiVir 6.32.0.3 09.16.2005 no virus found
Avast 4.6.695.0 09.16.2005 no virus found
AVG 718 09.16.2005 no virus found
Avira 6.32.0.3 09.16.2005 no virus found
BitDefender 7.2 09.18.2005 no virus found
CAT-QuickHeal 8.00 09.18.2005 no virus found
ClamAV devel-20050725 09.17.2005 no virus found
DrWeb 4.32b 09.18.2005 no virus found
eTrust-Iris 7.1.194.0 09.18.2005 no virus found
eTrust-Vet 11.9.1.0 09.16.2005 no virus found
Fortinet 2.41.0.0 09.07.2005 no virus found
F-Prot 3.16c 09.16.2005 no virus found
Ikarus 0.2.59.0 09.16.2005 no virus found
Kaspersky 4.0.2.24 09.18.2005 no virus found
McAfee 4583 09.16.2005 no virus found
NOD32v2 1.1219 09.16.2005 no virus found
Norman 5.70.10 09.16.2005 no virus found
Panda 8.02.00 09.18.2005 no virus found
Sophos 3.97.0 09.17.2005 no virus found
Symantec 8.0 09.17.2005 no virus found
TheHacker 5.8.2.108 09.16.2005 no virus found
VBA32 3.10.4 09.18.2005 no virus found

sorry weiss nicht, wie man die "*.bak" öffnet...

... und bei der "blbeta.exe" steht "userenv.dll" nicht gefunden
Seitenanfang Seitenende
18.09.2005, 16:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 nun
scanne mit Kaspersky und berichte vom scan
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2005, 19:37
...neu hier

Beiträge: 7
#11 c:\WINDOWS\SYSTEM\oleext.dll
c:\...\Class1.class-7a78c04...
c:\Quarantäne\Q10676~1.dll (dieser Ordner war bloss als Sicherheitskopie der Dateien, dass ich nichts aus Versehen lösche)
c:\Quarantäne\Uninstiu.exe
d:\...\INFECTED\intell32.VIR
d:\...\INFECTED\intell32.VIR00

Alles Trojaner, alles gelöscht...
Seitenanfang Seitenende
18.09.2005, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 fein ;)
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.09.2005, 09:49
...neu hier

Beiträge: 7
#13 "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Taskbar Display Controls" = "RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = "D:\ANTIVIRPE\AVGCTRL.EXE /min" ["H+BEDV Datentechnik GmbH"]
"Tweak UI" = "RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" [MS]
"msnappau" = ""c:\program files\MSN Apps\Updater\01.03.0000.1005\de-ch\msnappau.exe"" [MS]
"WinampAgent" = "D:\Winamp\winampa.exe" [null data]
"OmgStartup" = "C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\OmgStartup.exe" ["Sony Corporation"]
"LoadQM" = "loadqm.exe" [MS]
"EM_EXEC" = "C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [file not found]
"EnsoniqMixer" = "starter.exe" ["Creative Technology, Ltd."]
"SystemTray" = "SysTray.Exe" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"KAVPersonal50" = ""E:\Programme\Kaspersky\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"Tweak UI" = "RUNDLL32.EXE TWEAKUI.CPL,TweakLogon" [MS]
"kavsvc" = ""E:\Programme\Kaspersky\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = "Yahoo! Companion BHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL" ["Yahoo! Inc."]
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL" [MS]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE-CH\MSNTB.DLL" [MS]
{C08DF07A-3E49-4E25-9AB0-D3882835F153}\(Default) = "QUICKfind BHO Object" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\TEXTWARE\QUICKFIND\PLUGINS\IEHELP.DLL" [null data]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX" ["("]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{BDEADF00-C265-11d0-BCED-00A0C90AB50F}" = "Webordner"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\Webordner\MSONSEXT.DLL" [file not found]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\NVCPL.DLL" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\NVSHELL.DLL" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\NVSHELL.DLL" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\NVSHELL.DLL" ["NVIDIA Corporation"]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Office\soa800.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Exchange"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Windows Messaging\mlshext.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Explode"
-> {CLSID}\InProcServer32\(Default) = "D:\OFFICE\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Office\olkfstub.dll" [MS]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "E:\AUDIO PROGRAMS\Nero\nero\neroshx.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\WINRAR\rarext.dll" [null data]
"{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad"
-> {CLSID}\InProcServer32\(Default) = "E:\TEXTPAD 4\System\shellext.dll" ["Helios Software Solutions"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "style 2"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\Q106762_DISK.DLL" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["eFront Media, Inc."]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\AntiVirPE\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\WINRAR\rarext.dll" [null data]
TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}"
-> {CLSID}\InProcServer32\(Default) = "E:\TEXTPAD 4\System\shellext.dll" ["Helios Software Solutions"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRAMME\KASPERSKY\KASPERSKY ANTI-VIRUS PERSONAL\SHELLEX.DLL" ["Kaspersky Lab"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\WINRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["eFront Media, Inc."]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\AntiVirPE\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\WINRAR\rarext.dll" [null data]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRAMME\KASPERSKY\KASPERSKY ANTI-VIRUS PERSONAL\SHELLEX.DLL" ["Kaspersky Lab"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "H:\Privat\wallpaper_kamelot_blackhalo_1024x768.jpg"


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\AERONA~1.SCR" (Aeronautics Screen Saver.scr) [null data]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"PC Alert 4" -> shortcut to: "C:\Programme\MSI\PC Alert 4\PCAlert4.exe" ["0"]
"Microsoft Find Fast" -> shortcut to: "D:\Office\FINDFAST.EXE" [MS]
INFECTION WARNING! "PowerReg Scheduler V3.exe" ["Leader Technologies"]
"Office Startup" -> shortcut to: "D:\Office\OSA.EXE -b" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "&Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL" ["Yahoo! Inc."]

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "MSN" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE-CH\MSNTB.DLL" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE-CH\MSNTB.DLL" [MS]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "&Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL" ["Yahoo! Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 23 seconds, including 13 seconds for message boxes)


______________________________________________________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 09:53:33, on 19.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
D:\ANTIVIRPE\AVGCTRL.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\DE-CH\MSNAPPAU.EXE
D:\WINAMP\WINAMPA.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MSI\PC ALERT 4\PCALERT4.EXE
D:\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
H:\DOWNLOADS\MOZILLA\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/WINDOWS/Desktop/Links.html
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE-CH\MSNTB.DLL
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRAMME\TEXTWARE\QUICKFIND\PLUGINS\IEHELP.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE-CH\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [AVGCtrl] D:\ANTIVIRPE\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.03.0000.1005\de-ch\msnappau.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [OmgStartup] C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Programme\Kaspersky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [kavsvc] "E:\Programme\Kaspersky\Kaspersky Anti-Virus Personal\kavsvc.exe"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O4 - Startup: Microsoft Find Fast.lnk = D:\Office\FINDFAST.EXE
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: Office Startup.lnk = D:\Office\OSA.EXE
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.2.17.61,62.2.24.158,61.2.17.60
Seitenanfang Seitenende
19.09.2005, 10:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Gehe in die Registry

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\

"{B212D577-05B7-4963-911E-4A8588160DFA}" = "style 2" <--loeschen

PC neustarten

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.09.2005, 18:16
...neu hier

Beiträge: 7
#15 Ok, alles erledigt soweit.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: