Home » Viren, Trojaner & Malware Forum » TR/Qhost.QR TR/Click.526 Wie kann man die entfernen? » Themenansicht

TR/Qhost.QR TR/Click.526 Wie kann man die entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.01.2006, 01:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#61 Mocca

es fehlen noch die anderen zwei scanreporte ;)
-----------------------------------------------------------------------------------

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis hier
http://www.virustotal.com/flash/index_en.html

C:\Windows\System32\dpwtpaxp.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.01.2006, 01:56
Mocca
Member

Beiträge: 45
#62 Hallo Sabina!

Ich weiß, daß noch zwei Berichte fehlen.Hab deswegen Zwischenbericht darübergeschrieben.
Hab den ersten Scanbericht, die C:\Windows\System32 leider unterwegs verloren. Kann dir aber dazu sagen, daß er in hclean.exe einen trojaner entdeckt hat und nach seinen Angaben gelöscht hat.
Bei den folgenden Scans von C:\Windows und C: ist der Trojaner auch nicht mehr aufgetaucht.
Der letzte Scan von C verweist, glaube ich, auf Backup-Dateien des Trojaners in hclean.exe.
Ich hoffe, daß trotz fehlendem ersten Scan ein Weiterarbeiten möglich ist.

Hier der fehlende Scan von C:

01/03/2006 01:17:11


Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Betriebssystem]
Scanning C:\*.*
C:\escheck\ECBackup\a0022116.exe.001.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0025740.exe.001.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0027442.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0027452.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0027476.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0027489.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0028230.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0028399.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0028413.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\a0028425.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\csbgd.exe.bkp ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\favme.exe.bkp ... Found potentially unwanted program Generic Adware.c.
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.001.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.002.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.003.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.004.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.005.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.006.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.007.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.008.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.009.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.010.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.011.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.012.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.013.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.014.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.015.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\escheck\ECBackup\hclean32.exe.vir.bkp ... Found the Generic MSVC.b trojan !!!
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\A0029445.EXE.VIR ... Found the MultiDropper-NW trojan !!!
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\A0029446.EXE.VIR ... Found potentially unwanted program Generic Adware.c.
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.010\RDSNDIN.EXE.010 ... Found the Spy-Agent.i trojan !!!
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.011\RDSNDIN.EXE.011 ... Found the Spy-Agent.i trojan !!!
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.012\RDSNDIN.EXE.012 ... Found the Spy-Agent.i trojan !!!
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.013\RDSNDIN.EXE.013 ... Found the Spy-Agent.i trojan !!!
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.014\RDSNDIN.EXE.014 ... Found the Spy-Agent.i trojan !!!
The file or process has been deleted.
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.VIR\RDSNDIN.EXE.VIR ... Found the Spy-Agent.i trojan !!!
The file or process has been deleted.
C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll\00017b68.EXE ... Found potentially unwanted program Downloader-AGT.
The file or process has been deleted.
The archive has been deleted.
C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe\EvID4226Patch.exe ... Found potentially unwanted program Tool-Evid.
The file or process has been deleted.
C:\Programme\ICQToolbar\toolbaru.inf ... Found potentially unwanted program Adware-Softomate.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 105203
Clean: ................. 103334
Possibly Infected: ..... 34
Cleaned: ............... 0
Deleted: ............... 39
Non-critical Error(s): 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:23.26





Und der Scan von virustotal:

This is a report processed by VirusTotal on 01/03/2006 at 01:56:48 (CET) after scanning the file "dpwtpaxp.dll" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 01.02.2006 no virus found
Avast 4.6.695.0 01.02.2006 no virus found
AVG 718 01.02.2006 no virus found
Avira 6.33.0.70 01.02.2006 no virus found
BitDefender 7.2 01.02.2006 no virus found
CAT-QuickHeal 8.00 01.02.2006 no virus found
ClamAV devel-20051123 01.02.2006 no virus found
DrWeb 4.33 01.02.2006 no virus found
eTrust-Iris 7.1.194.0 01.01.2006 no virus found
eTrust-Vet 12.4.1.0 01.01.2006 no virus found
Ewido 3.5 01.02.2006 no virus found
Fortinet 2.54.0.0 01.02.2006 no virus found
F-Prot 3.16c 01.02.2006 no virus found
Ikarus 0.2.59.0 01.02.2006 no virus found
Kaspersky 4.0.2.24 01.03.2006 no virus found
McAfee 4665 01.02.2006 no virus found
NOD32v2 1.1349 01.02.2006 no virus found
Norman 5.70.10 12.31.2006 no virus found
Panda 9.0.0.4 01.02.2006 no virus found
Sophos 4.01.0 01.02.2006 no virus found
Symantec 8.0 01.03.2006 no virus found
TheHacker 5.9.2.067 01.02.2006 no virus found
UNA 1.83 01.02.2006 no virus found
VBA32 3.10.5 01.01.2006 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
03.01.2006, 16:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#63 Mocca

poste bitte das neue Log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.01.2006, 22:24
Mocca
Member

Beiträge: 45
#64 Logfile of HijackThis v1.99.1
Scan saved at 22:24:00, on 03.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzdbb3\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{56D4F48F-2829-4386-A039-12DD2C2532FD}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
04.01.2006, 01:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#65 Mocca

fixe mit dem hijckthis:

O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{56D4F48F-2829-4386-A039-12DD2C2532FD}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252

pc neustarten

erstelle eine neue Internetverbindung (denn deine jetzige... vom Wareout gekapert) haben wir geloescht....


---------------------------------------------------------------------
deaktiviere die system wiederherstellung )...wenn alles wieder sauber ist...aktivierst du sie wieder
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

und poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2006, 01:37
Mocca
Member

Beiträge: 45
#66 Dein Auftrag:
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

funktioniert bei mir nicht....er kann IE nicht finden. Alternativen???

Die anderen Aufgaben konnte ich bewältigen. Die Systemwiederherstellung hatte ich bereits deaktiviert.
Die genannten Einträge habe ich mit HijackThis gelöscht.
Nach Neustart die neue Internetverbindung eingestellt.
Und nochmal HijackThis...Da zeigte sich, daß der Eintrag
" O17- HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252 "

wieder da war. Hab ich denn nochmal gelöscht. Die dabei erstellte Backup-Datei auf dem Desktop gleich mitgeschreddert. Und nochmal hochgefahren. Beim letzten Logfile von Hijack war sie dann nicht mehr drauf.
Hier der Scanreport:

Logfile of HijackThis v1.99.1
Scan saved at 02:11:28, on 04.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Ach so, die Systemwiederherstellung habe ich erst mal deaktiviert gelassen, bist du mir grünes Licht gibst.


Liebe Grüße, Moc
__________
Dieser Satz kein Verb.
Dieser Beitrag wurde am 04.01.2006 um 02:22 Uhr von Mocca editiert.
Seitenanfang Seitenende
04.01.2006, 13:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#67 Mocca

wenn der IE nicht funktioniert, sind auch keine Onlinescans moeglich...ich wollte eigentlich dein System nicht unnoetig mit scannern zupflastern, aber nun lade dr.web, scanne und berichte (vielleicht musst du abtippen, was noch gefunden wurde....)
http://virus-protect.org/cureit.html

dann mache bitte die WindowsUpdates...lade SP2.
Die systemwiederherstellung kannst du wieder aktivieren.

--------------------------------------------
Dort werden verdächtige Dateien analysiert und an etwa 40 Hersteller von AntiVirus Programmen weitergeleitet, falls sie sich als schädlich herausstellen. So leistest Du einen aktiven Beitrag im Kampf gegen Malware!
http://www.malwareupload.com/

Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.

C:\Windows\System32\dpwtpaxp.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2006, 00:40
Mocca
Member

Beiträge: 45
#68 hallo Sabina!


Dr.Web hat nix gefunden.

Die Systemwiederherstellung ist wieder aktiv.

Ich habe SP2 geladen und zunächst aktiviert. Soll ich die Windows-Firewall eigentlich zusätzlich meiner aktiven ZoneLabs laufen lassen? Bringt das mehr Sicherheit? Macht das Sinn? Hab erstmal die MS Firewall deaktiviert. Will keine Standleitung zu MS aufbauen ;) Wie soll ich das Ding denn einstellen? Was ist mit den Updates?
Im Systemtray wandelt jetzt an meinem LAN-Verbindung2-Icon ständig ne gelbe Kugel von links nach rechts und sagt neuerdings "Status:Netzwerkadresse beziehen". Was soll denn das? Fragen über Fragen....Ich hoffe, du kannst mir Rat geben.


Übrigens, C:\Windows\System32\dpwtpaxp.dll habe ich zu malware hochgeladen
und warte auf Antwort.

Vielleicht kannst du mir ja in der Zwischenzeit kurz die Firewall-Geschichte erklären und wie ich sicherheitstechnisch am besten bedient bin. Du kennst mein System besser als ich.... ;)


Liebe Grüße, Moc


Ergänzung: Da mein ZoneAlarm für so geringe Internetaktivität eigentlich ziemlich heftig ausschlägt, habe ich noch einmal ein HijackThis-Scan gemacht...
Ergebnis: Die bereits gelöschte 17 ist wieder da.....

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252

Was tun?



Und die letzte Ergänzung: Hab gerade malware-Antwort gelesen:

Virencheck² Status Unsere Antwort
dpwtpaxp.dll 14 Bytes 05.01.2006
bb533cd2fcb87510875b8b5115ac3d19
Keine Viren gefunden Bearbeitung abgeschlossen Keine Malware!



Gruß, Moc ;)
__________
Dieser Satz kein Verb.
Dieser Beitrag wurde am 05.01.2006 um 01:07 Uhr von Mocca editiert.
Seitenanfang Seitenende
05.01.2006, 01:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#69 das system ist noch nicht sauber...wir muessen was uebersehen haben.....

noch mal:
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

poste die 4 Textdateien
http://virus-protect.org/datfindbat.html
--------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2006, 17:41
Mocca
Member

Beiträge: 45
#70 01/05/06 16:21:32 [Info]: BlackLight Engine 1.0.30 initialized
01/05/06 16:21:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/06 16:21:34 [Note]: 7019 4
01/05/06 16:21:34 [Note]: 7005 0
01/05/06 16:23:09 [Note]: 7006 0
01/05/06 16:23:09 [Note]: 7011 936
01/05/06 16:23:10 [Note]: FSRAW library version 1.7.1014
01/05/06 17:01:19 [Note]: 7007 0




Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\system32

05.01.2006 16:14 35.978 vsconfig.xml
04.01.2006 23:59 37.760 perfc009.dat
04.01.2006 23:59 305.318 perfh009.dat
04.01.2006 23:59 309.810 perfh007.dat
04.01.2006 23:59 45.672 perfc007.dat
04.01.2006 23:59 705.468 PerfStringBackup.INI
04.01.2006 23:55 2.206 wpa.dbl
04.01.2006 23:54 249 spupdwxp.log
04.01.2006 23:54 163.528 FNTCACHE.DAT
11.12.2005 01:06 4.212 zllictbl.dat
29.11.2005 22:34 5.618 jupdate-1.5.0_05-b05.log
26.11.2005 15:46 23.392 nscompat.tlb
26.11.2005 15:46 16.832 amcompat.tlb
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
23.10.2005 18:52 176.167 rmoc3260.dll
23.10.2005 18:51 5.632 pndx5032.dll
23.10.2005 18:51 6.656 pndx5016.dll
23.10.2005 18:51 278.528 pncrt.dll
06.10.2005 01:42 237.568 lame_enc.dll
06.10.2005 01:42 467.968 NCTAudioRecord2.dll
06.10.2005 01:42 522.752 NCTAudioTransform2.dll
06.10.2005 01:42 467.456 NCTAudioPlayer2.dll
06.10.2005 01:42 634.880 NCTAudioEditor2.dll
06.10.2005 01:42 877.568 NCTAudioFile2.dll
06.10.2005 01:42 966.144 NCTAudioInformation2.dll
26.09.2005 18:18 25.065 wmpscheme.xml
24.09.2005 08:16 14 dpwtpaxp.dll
24.09.2005 08:16 21 dpwtdaxp.dll
24.09.2005 08:16 12 spwtpaxp.dll
14.09.2005 20:17 462.848 px.dll
14.09.2005 20:17 28.672 vxblock.dll
14.09.2005 20:17 319.488 pxdrv.dll
14.09.2005 20:17 53.248 pxhpinst.exe
14.09.2005 20:17 143.360 pxmas.dll
14.09.2005 20:17 286.720 pxwave.dll
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe
04.07.2005 19:49 4 micr0st.dll




Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

05.01.2006 16:51 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}28705.html
05.01.2006 16:18 16.384 ~DF4A84.tmp
05.01.2006 16:18 512 ~DF4ACC.tmp
05.01.2006 16:18 512 ~DF4A9D.tmp
05.01.2006 16:18 16.384 ~DF4AB3.tmp
05.01.2006 16:18 16.384 ~DF4A25.tmp
05.01.2006 16:18 512 ~DF4A3E.tmp
05.01.2006 16:18 512 ~DF4A6E.tmp
05.01.2006 16:18 16.384 ~DF4A54.tmp
05.01.2006 16:16 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}23449.html
05.01.2006 16:16 16.384 ~DF8E9A.tmp
05.01.2006 16:16 512 ~DF71C9.tmp
05.01.2006 16:16 16.384 ~DF71B0.tmp
04.01.2006 22:28 233.476 MSI59889.LOG
04.01.2006 22:27 16.384 76.tmp
04.01.2006 22:27 83.892 MSI59884.LOG
04.01.2006 22:26 16.384 3B.tmp
04.01.2006 22:26 83.894 MSI4595e.LOG
04.01.2006 22:26 83.894 MSI4595d.LOG
04.01.2006 01:46 16.384 ~DF1C49.tmp
04.01.2006 01:46 16.384 ~DF1219.tmp
03.01.2006 22:51 283 wahtmltmp00.htm
03.01.2006 20:24 16.384 ~DF87B7.tmp
03.01.2006 20:24 16.384 ~DF7B10.tmp
03.01.2006 02:47 16.384 ~DFFB8.tmp
03.01.2006 02:42 16.384 ~DF887F.tmp
03.01.2006 01:01 16.384 ~DF1F68.tmp
03.01.2006 01:01 16.384 ~DF14AF.tmp
03.01.2006 00:43 233.448 MSI83617.LOG
02.01.2006 01:38 297.109 azplugins_1.8.8.jar
02.01.2006 01:37 853 AZU8568.tmp
02.01.2006 01:34 832 java_install_reg.log
02.01.2006 00:11 16.384 ~DF8055.tmp
02.01.2006 00:11 16.384 ~DF7070.tmp
01.01.2006 23:41 16.384 ~DF9BDA.tmp
01.01.2006 23:41 16.384 ~DF9341.tmp
31.12.2005 21:17 16.384 ~DF55E9.tmp
31.12.2005 21:17 16.384 ~DF4B90.tmp
31.12.2005 20:17 16.384 ~DFC4CB.tmp
31.12.2005 20:17 16.384 ~DFBAF9.tmp
31.12.2005 17:05 16.384 ~DF93BC.tmp
31.12.2005 17:05 16.384 ~DF84DF.tmp
29.12.2005 00:42 50.856 tmp29237zip
29.12.2005 00:41 5.071 tmp29232xml
26.12.2005 03:10 248 1F1205F7.TMP
07.07.2005 14:03 102.479 ICQLSRP.dll
07.07.2005 13:54 32.847 ICQRT.dll
03.02.2005 16:30 5.739 ICQTIK.dll
17.12.2004 11:51 36.864 ICQInstall.exe
12.10.2004 11:14 57.344 InstHelp.dll
50 Datei(en) 1.739.634 Bytes
0 Verzeichnis(se), 13.147.181.056 Bytes frei



Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS

05.01.2006 16:32 652.621 WindowsUpdate.log
05.01.2006 16:27 6.173 KB899587.log
05.01.2006 16:27 6.074 KB896422.log
05.01.2006 16:27 6.134 KB885835.log
05.01.2006 16:26 5.953 KB885836.log
05.01.2006 16:26 6.184 KB885250.log
05.01.2006 16:26 5.684 KB901017.log
05.01.2006 16:26 5.576 KB899591.log
05.01.2006 16:26 5.486 KB896424.log
05.01.2006 16:26 5.382 KB893756.log
05.01.2006 16:26 5.357 KB873339.log
05.01.2006 16:26 5.259 KB888113.log
05.01.2006 16:26 5.488 KB887742.log
05.01.2006 16:26 5.069 KB887472.log
05.01.2006 16:26 4.894 KB896358.log
05.01.2006 16:26 5.176 KB905915.log
05.01.2006 16:25 4.767 KB891781.log
05.01.2006 16:25 4.611 KB902400.log
05.01.2006 16:24 4.488 KB890046.log
05.01.2006 16:24 4.395 KB893066.log
05.01.2006 16:24 4.288 KB899589.log
05.01.2006 16:24 4.189 KB905414.log
05.01.2006 16:24 4.094 KB901214.log
05.01.2006 16:24 4.069 KB888302.log
05.01.2006 16:24 3.906 KB900725.log
05.01.2006 16:24 3.798 KB904706.log
05.01.2006 16:24 3.694 KB905749.log
05.01.2006 16:24 3.592 KB896428.log
05.01.2006 16:24 3.506 KB894391.log
05.01.2006 16:23 3.647 KB890859.log
05.01.2006 16:17 3.398 KB896423.log
05.01.2006 16:14 0 0.log
05.01.2006 16:14 2.048 bootstat.dat
05.01.2006 01:09 32.626 SchedLgU.Txt
05.01.2006 01:02 64.847 iis6.log
05.01.2006 01:02 12.647 comsetup.log
05.01.2006 01:02 9.093 ntdtcsetup.log
05.01.2006 01:02 1.355 imsins.log
05.01.2006 01:02 21.246 tsoc.log
05.01.2006 01:02 2.250 ocmsn.log
05.01.2006 01:02 2.022 tabletoc.log
05.01.2006 01:02 8.775 KB893803v2.log
05.01.2006 01:02 7.315 netfxocm.log
05.01.2006 01:02 4.585 medctroc.Log
05.01.2006 01:02 29.164 ocgen.log
05.01.2006 01:02 2.276 msgsocm.log
05.01.2006 01:02 36.371 FaxSetup.log
05.01.2006 01:02 16.800 msmqinst.log
05.01.2006 01:02 143.281 setupapi.log
05.01.2006 01:02 1.355 imsins.BAK
05.01.2006 01:02 8.256 KB898461.log
05.01.2006 00:43 50 wiaservc.log
05.01.2006 00:43 215 wiadebug.log
04.01.2006 23:56 28.997 spupdsvc.log
04.01.2006 23:56 232 DtcInstall.log
04.01.2006 23:56 1.411 wmsetup.log
04.01.2006 23:56 345 OEWABLog.txt
04.01.2006 23:56 316.640 WMSysPr9.prx
04.01.2006 23:55 12.077 setuplog.txt
04.01.2006 23:53 426.060 svcpack.log
04.01.2006 23:49 200 cmsetacl.log
04.01.2006 23:49 270 sessmgr.setup.log
04.01.2006 23:32 0 setuperr.log
04.01.2006 23:32 0 setupact.log
03.01.2006 23:07 47 winamp.ini
02.01.2006 01:37 9.728 Thumbs.db
02.01.2006 00:09 77.310 ntbtlog.txt
31.12.2005 00:16 527 win.ini
30.12.2005 21:42 0 Sti_Trace.log
29.12.2005 02:47 227 system.ini
28.12.2005 22:33 3.536.794 REGBK00.ZIP
25.12.2005 02:40 174 gfscore.ini
23.12.2005 21:22 2.107.446 PhotoFiltre-Wallpaper.bmp
16.12.2005 21:07 290.816 Setup1.exe
16.12.2005 21:07 74.752 ST6UNST.EXE
08.12.2005 22:34 400 ODBC.INI
03.12.2005 23:17 306 QTW.ini
01.12.2005 18:43 114 ALBUM.INI
29.11.2005 22:35 8.107 mozver.dat
28.11.2005 00:45 34 cdplayer.ini
26.11.2005 15:11 20 powerplayer.ini
19.11.2005 03:54 657 explorer.exe.manifest
12.11.2005 23:32 921.654 GreenSaver.bmp
07.11.2005 22:39 98 acc1.txt
07.11.2005 22:39 98 ncc1.txt
06.11.2005 01:31 48.128 AKDeInstall.exe
05.11.2005 23:08 100.482 UninstallThunderbird.exe
04.11.2005 23:24 107.132 UninstallFirefox.exe
26.09.2005 17:52 10 smdat32m.sys
24.09.2005 08:24 21 dpwtddxp.dll
24.09.2005 08:16 14 dpwtpdxp.dll
22.09.2005 15:52 4 msoffice.ini
14.07.2005 21:56 1.932 ModemLog_Standardmodem.txt
11.02.2005 23:46 30 RESULT.QTW
11.02.2005 23:46 231 SYSINI.QTW



Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\

05.01.2006 17:08 0 sys.txt
05.01.2006 17:08 8.520 system.txt
05.01.2006 17:07 2.812 systemtemp.txt
05.01.2006 17:06 104.804 system32.txt
05.01.2006 16:14 267.964.416 hiberfil.sys
05.01.2006 16:14 367.001.600 pagefile.sys
04.01.2006 23:49 211 boot.ini
04.01.2006 23:39 47.564 NTDETECT.COM
04.01.2006 23:39 251.184 ntldr
02.01.2006 00:27 0 IO.SYS
02.01.2006 00:27 0 MSDOS.SYS
28.12.2005 23:28 6 AVPCallback.log
22.12.2005 21:56 26.488 MDacLog.txt
30.11.2005 20:46 106 ps_system_Zeit.txt
18.08.2001 20:00 4.952 bootfont.bin
15 Datei(en) 635.412.663 Bytes
0 Verzeichnis(se), 13.147.185.152 Bytes frei


Die regedit habe ich geändert....
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
05.01.2006, 23:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#71 ist es denn vorhanden??? Wieso konntest du es nicht loeschen ?????


__________
Dieser Satz kein Verb.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.01.2006, 00:38
Mocca
Member

Beiträge: 45
#72 Ich denke mit %UserProfile% war der Benutzer unter c:\Dokumente und Einstellungen gemeint. Ich habe früher einmal zwei unterschiedliche Benutzer eingegeben, meine Frau und ich. Fanden wir aber Scnickschnack und loggen uns aber seit langem beide über Administrator ein.

Da habe ich mich über den von dir beschriebenen Weg über Administrator bis zum Ordner PBK durchgeklickt. Der ist aber leer.

Über Suche habe ich rasphone.pbk bei Administrator/Recent gefunden und reingeguckt. Da heisst es dann in der entscheidenden Passage:

IpPrioritizeRemote=1
IpHeaderCompression=0
IpAddress=0.0.0.0
IpDnsAddress=0.0.0.0
IpDns2Address=0.0.0.0
IpWinsAddress=0.0.0.0
IpWins2Address=0.0.0.0
IpAssign=1
IpNameAssign=1
IpFrameSize=1006
IpDnsFlags=0
IpNBTFlags=0
TcpWindowSize=0
UseFlags=1
IpSecFlags=0
IpDnsSuffix=


Also keine Verweise auf fremde IP-DNS-Adressen.
Wenn du den Rest der Datei kopiert brauchst, mache ich das.


Insgesamt habe ich die rasphone.pbk mehrere Male gefunden, aber jedesmal gleiches Ergebnis. Keine fremden Adressen drin.

Jetzt habe ich zudem manchmal eine ini gefunden namens Sharedaccess. (zuletzt geändert 2001). Ist das ne fremde Datei?


Grüße, Marco
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
06.01.2006, 00:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#73 das kann auch nicht in Ordnung sein...man muss eine Adresse haben...
IpAddress=0.0.0.0
IpDnsAddress=0.0.0.0

erstelle also eine neue Internetverbindung.... Verbindung automatisch herstellen, es gibt eine Funktion, die das bewerkstelligt.

schau auch mal, was du nun findest unter:
HKLM\System\CCS\Services\Tcpip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.01.2006, 20:17
Mocca
Member

Beiträge: 45
#74 Hallo Sabina!

Ich habe zunächst eine neue Internetverbindung hergestellt. Aber die Funktion "Automatisch herstellen" habe ich nirgendwo gefunden. Deswegen habe ich sie manuell mit den Zugangsdaten meines Providers hergestellt. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.

Den Verlauf HKLM\System\CCS\Services\Tcpip gibt es bei mir nicht. Auch bei Eingabe über Suche kommt nix raus.

Gruß, Marco
__________
Dieser Satz kein Verb.
Seitenanfang Seitenende
06.01.2006, 23:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#75 aber....es funktioniert wieder alles ...??? Oder gibt es noch Beschwerden? Der PC ist sauber, denke ich...nur eben noch das prob mit der Internetverbindung.....

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKLM\System\CCS\Services\Tcpip

schreibe, was du rechts findest.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: