Home » Viren, Trojaner & Malware Forum » O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} » Themenansicht

O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}
#0
13.10.2005, 09:27
Pfifferling
Member

Themenstarter

Beiträge: 14
#16 Hallo und Moin
Also die Datei dmkwo.exe war in der System32 nicht vorhanden.

Hier nun die Scanergebnisse:

Panda:

Incident Status Location

Adware:adware/cws No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\AdultGambling.url
Adware:Adware/Findspy No disinfected C:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.VIR
Virus:Trj/Downloader.FFZ Disinfected C:\WINDOWS\system32\csaih.exe
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\system32\hlmicro.exe


Silentrunner:
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"NVIEW" = "rundll32.exe nview.dll,nViewLoadHook" [MS]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"EPSON Stylus CX3200" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"" ["SEIKO EPSON CORPORATION"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_01\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"dmwfq.exe" = "C:\WINDOWS\System32\dmwfq.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{C3F24159-A5D9-4779-862B-345D3418CAF0}" = "Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Mwtrns10.dll" [empty string]
"{330417E8-EF62-4047-82BE-D8305CEFF572}" = "AMEncShlExt extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\4MUSIC~1\amshellext.dll" ["4Musics, Inc."]
"{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
"{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" [null data]
"{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" [null data]
"{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*W" (unwritable string)
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
MP3 to WAVE Transformer\(Default) = "{C3F24159-A5D9-4779-862B-345D3418CAF0}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Mwtrns10.dll" [empty string]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" [empty string]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WS_FTP\(Default) = "{797F3885-5429-11D4-8823-0050DA59922B}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Ipswitch\WS_FTP Pro\wsftpsi.dll" ["Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\inetrepl.dll" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.exe" ["Creative Technology Ltd"]
EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]
EpsonBidirectionalService, EpsonBidirectionalService, "C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe" [null data]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V5 2KMonitor\Driver = "EBPMON2.DLL" ["SEIKO EPSON CORPORATION"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 26 seconds, including 4 seconds for message boxes)



HiJack:
Logfile of HijackThis v1.99.1
Scan saved at 09:20:39, on 13.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ralf\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?hl=de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [dmwfq.exe] C:\WINDOWS\System32\dmwfq.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Gruß

Ralf
Seitenanfang Seitenende
13.10.2005, 15:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 loesche mit der Kilbox:
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\AdultGambling.url
C:\Programme\AVPersonal\INFECTED\BNDMOD.EXE.VIR
C:\WINDOWS\system32\csaih.exe
C:\WINDOWS\system32\BNDMOD.EXE
C:\WINDOWS\System32\dmwfq.exe
C:\WINDOWS\system32\hlmicro.exe

PC neustarten

fixe mit dem HijackThis:
O4 - HKLM\..\Run: [dmwfq.exe] C:\WINDOWS\System32\dmwfq.exe

neustarten

ewido im abgesicherte modus scannen) , noch mal, falls du es schon gemacht hast)--> poste den scanreport
http://virus-protect.org/ewido.html

ueberpruefe, ob das geleoscht ist:
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\AdultGambling.url

dann berichte (hijackthis)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.10.2005, 09:35
Pfifferling
Member

Themenstarter

Beiträge: 14
#18 Hallo
Die meisten Dateien konnte ich nicht löschen da sie nicht vorhanden waren.
Gelöscht habe ich lediglich die bndmod.exe.vir.

Hier der Scan von ewido im save mod:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 09:16:09, 14.10.2005
+ Report-Checksumme: 351BBC96

+ Scanergebnis:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Ignoriert
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Ignoriert
HKU\S-1-5-21-2052111302-1123561945-725345543-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Ignoriert
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Ignoriert
C:\!Submit\BNDMOD.EXE.VIR -> Spyware.FindSpy : Ignoriert
C:\!Submit\hlmicro.exe -> Spyware.Msnagent : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@adopt.euroclick[2].txt -> Spyware.Cookie.Euroclick : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@adtech[2].txt -> Spyware.Cookie.Adtech : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@as-us.falkag[1].txt -> Spyware.Cookie.Falkag : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@atdmt[1].txt -> Spyware.Cookie.Atdmt : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@axa.addcontrol[1].txt -> Spyware.Cookie.Addcontrol : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@e-2dj6wjk4cgcpiao.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@fastclick[1].txt -> Spyware.Cookie.Fastclick : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@mediaplex[2].txt -> Spyware.Cookie.Mediaplex : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Ignoriert
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@z1.adserver[1].txt -> Spyware.Cookie.Adserver : Ignoriert
C:\WINDOWS\system32:vfaa.dll -> TrojanDownloader.Small.azk : Ignoriert
C:\WINDOWS\system32\hwiper.exe -> Trojan.Qhost.dv : Ignoriert
D:\Download\LimeWire Tmp\NORTON 2005 - SystemWorks + Internet Security + Ghost 9.0 + GoBack + ALL keyg*hier nicht*.rar/NORTON 2005 - SystemWorks + Internet Security + Ghost 9.0 + GoBack + ALL keyg*hier nicht*\Norton Internet Security 2005\KEY-GENERATOR NIS 2005\NIS 2005 - keyg*hier nicht* SSG.exe -> TrojanDropper.Delf.fd : Ignoriert
D:\Download\LimeWire Tmp\NORTON 2005 - SystemWorks + Internet Security + Ghost 9.0 + GoBack + ALL keyg*hier nicht*.rar/NORTON 2005 - SystemWorks + Internet Security + Ghost 9.0 + GoBack + ALL keyg*hier nicht*\NORTON KEY-GENERATORS\keyg*hier nicht* Norton 2005\NIS 2005 - keyg*hier nicht* SSG.exe -> TrojanDropper.Delf.fd : Ignoriert


::Report Ende



Und hier HiJack:
Logfile of HijackThis v1.99.1
Scan saved at 09:31:41, on 14.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ralf\LOKALE~1\Temp\Rar$EX04.875\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?hl=de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gruß

Ralf
Seitenanfang Seitenende
14.10.2005, 11:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 mit der Killbox:
C:\WINDOWS\system32\hwiper.exe
C:\!Submit\BNDMOD.EXE.VIR
C:\WINDOWS\system32:vfaa.dll (oder: C:\WINDOWS\system32\vfaa.dll)
C:\!Submit\hlmicro.exe

dann scanne noch mal mit ewido, aber nicht ignorieren, sondern bei jeder malware auf !loeschen" klicken !!!!!!!!!!!!!!!!!!!!!

scanne mit Panda und berichte ;) ..wenn der Antivirus "meckert"..nicht beachten
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2005, 05:03
Pfifferling
Member

Themenstarter

Beiträge: 14
#20 Hallo
Hier die neuen Logs:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 04:13:27, 15.10.2005
+ Report-Checksumme: B5ABCDCE

+ Scanergebnis:

C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@e-2dj6wjk4cgcpiao.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@e-2dj6wjlywnc5wgp.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@servedby.advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@www.etracker[1].txt -> Spyware.Cookie.Etracker : Gesäubert mit Backup


::Report Ende



Incident Status Location

Virus:Bck/Pinruins.A Disinfected C:\WINDOWS\system32\dmjtw.exe
Adware:Adware/PsGuard No disinfected C:\WINDOWS\system32\LogFiles\A10101600.so


Gruß

Ralf
Seitenanfang Seitenende
15.10.2005, 15:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 C:\WINDOWS\system32\LogFiles\A10101600.so <--loeschen
C:\WINDOWS\system32\LogFiles

dann noch mal scannen (Panda oder ewido)...wir muessen sehen, ob sie die exe in system32 immer wieder neu erstellt oder ob sie entgueltig geloescht ist.

spysweeper
Trialversion laden , scanne und poste den scanreport
http://www.webroot.com/consumer/products/spysweeper/index.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2005, 21:52
Pfifferling
Member

Themenstarter

Beiträge: 14
#22 Hallöchen
Ewito:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:38:01, 15.10.2005
+ Report-Checksumme: EEEB93D0

+ Scanergebnis:

C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Ralf\Cookies\ralf@e-2dj6wjk4cgcpiao.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert ohne Backup


::Report Ende



Spy Sweeper:
********
21:39: | Start of Session, Samstag, 15. Oktober 2005 |
21:39: Spy Sweeper started
21:39: Sweep initiated using definitions version 547
21:39: Starting Memory Sweep
21:41: Memory Sweep Complete, Elapsed Time: 00:02:01
21:41: Starting Registry Sweep
21:42: Found Trojan Horse: trojan-downloader-ruin
21:42: HKLM\software\microsoft\windows\currentversion\ruins\ (1 subtraces) (ID = 605128)
21:42: Registry Sweep Complete, Elapsed Time:00:00:12
21:42: Starting Cookie Sweep
21:42: Found Spy Cookie: adultfriendfinder cookie
21:42: ralf@adultfriendfinder[1].txt (ID = 2165)
21:42: Found Spy Cookie: belnk cookie
21:42: ralf@belnk[1].txt (ID = 2292)
21:42: ralf@dist.belnk[2].txt (ID = 2293)
21:42: Found Spy Cookie: servlet cookie
21:42: ralf@servlet[1].txt (ID = 3345)
21:42: Found Spy Cookie: xiti cookie
21:42: ralf@xiti[1].txt (ID = 3717)
21:42: Cookie Sweep Complete, Elapsed Time: 00:00:01
21:42: Starting File Sweep
21:47: File Sweep Complete, Elapsed Time: 00:04:52
21:47: Full Sweep has completed. Elapsed time 00:07:10
21:47: Traces Found: 7
21:50: Removal process initiated
21:50: Quarantining All Traces: trojan-downloader-ruin
21:50: Quarantining All Traces: adultfriendfinder cookie
21:50: Quarantining All Traces: belnk cookie
21:50: Quarantining All Traces: servlet cookie
21:50: Quarantining All Traces: xiti cookie
21:50: Removal process completed. Elapsed time 00:00:02
********
21:39: | Start of Session, Samstag, 15. Oktober 2005 |
21:39: Spy Sweeper started
21:39: Messenger service has been disabled.
21:39: | End of Session, Samstag, 15. Oktober 2005 |



Gruß

Ralf
Seitenanfang Seitenende
15.10.2005, 22:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 gut, nun sehen wir, ob wirklich alles sauber ist:
scanne mit ewido (ich hoffe ein letztes mal)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2005, 22:55
Pfifferling
Member

Themenstarter

Beiträge: 14
#24 Habe ich soeben gestartet ;-).
Es wäre ja schön wenn er wieder porentief rein wäre gg
Seitenanfang Seitenende
15.10.2005, 22:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25

Zitat

Pfifferling postete
Habe ich soeben gestartet ;-).
Es wäre ja schön wenn er wieder porentief rein wäre gg
ich hoffe auch, sonst muessen wir noch mal ganz von vorn anfangen.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2005, 23:35
Pfifferling
Member

Themenstarter

Beiträge: 14
#26 Ich glaube das wars. Den jetztigen Befund kann ich sogar selbst interpretieren ;-).

Aber ich poste ihn dennoch.
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:31:52, 15.10.2005
+ Report-Checksumme: 80403B15

+ Scanergebnis:

Keine infizierten Objekte gefunden.


::Report Ende

Also ich möchte mich vielmals bei Dir badanken. Eine Klasse Leistung!!!
Ansonsten hätte ich wohl wieder eine Neuinstallation durchführen dürfen.
Machst Du das beruflich??

Gruß

Ralf
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12