Wie kann ich den Trojaner vbsys2.dll löschen ?

#61 Lindwurm

loesche:
C:\WINDOWS\system32\phv7ar9j.ini

bevor du es loeschst--> rechtsklick--> mit dem Editor oeffnen--> poste mir, was drin steht
__________
MfG Sabina

rund um die PC-Sicherheit

#62 das habe ich gefunden:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "UMWdf" 31.10.2005 13:29:27

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UMWDF]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UMWDF\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UMWDF\0000]
"Service"="UMWdf"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UMWdf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UMWdf\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UMWdf\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UMWdf\Enum]
"0"="Root\\LEGACY_UMWDF\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UMWDF]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UMWDF\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UMWDF\0000]
"Service"="UMWdf"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UMWdf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UMWdf\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UMWDF\0000]
"Service"="UMWdf"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdf\Enum]
"0"="Root\\LEGACY_UMWDF\\0000"

#63 Hallo Sabina,

folgendes stand alles in der phv7ar9j.ini - Datein.
Gruß Jenny


[Files]
SAHAgent=phv7ar9j.exe
SahHtml=nkiaqjrv.exe
SAHUninstall=1s3p7ncg.exe
lsp=8i2l646s.dll
WEBInstaller=WEBInstaller.dll
v=l86pb320.dat
vg=11a6ov78.dat
vp=dpej5qch.dat
vu=phi1imhq.dat
vh=4amevhn2.dat
sporder=sporder.dll
lsp_setup=upgrade.exe
[SAHAgent]
PrefsServer=www.shopathomeselect.com
PrefsXML=/agent/agentprefs.sah
RenameFiles=no
FileSahAgent=gah95on6
FileSahHtml=bln02nqv
FileSahUnInstall=70tovmto
FileLsp=2b3fsk0h
FileV=tm97pj39
FileVP=p1fumi62
FileVG=kdlmjh8r
FileVU=goreggbk
FileVH=b315cfed
WebInstall=no
DllName=C:\DOKUME~1\Jenny\LOKALE~1\Temp\S410FGE1.dll
HtmlName=C:\WINDOWS\System32\vaun1lkg.html
EulaDate=2005-05-05 12:51:59
EulaStatus=Displayed4002t
InstallLocation=downloads.shopathomeselect.com
InstPath=cdt/
BundleKey=cdt1004.sah
PackageLocation=downloads.shopathomeselect.com
PackageName=/v4030/setup4030.cab
PrefsPath=agent/
BundlePackage=setup4002b.cab
iniName=setup4002b.ini
CookieUserAgent=iexplorer
BrowserType=Bundle
BundleProgress=3
UniqueBundleKey=owner=cdt1004
UniqueBundleID=refer=340412805
GUID=GUID={63F12999-F124-4F68-99DF-EA739AF3F226}
LSPInstallNeed=yes
ReadyToInstall=complete
BundleInstall=installing
AgentVersion=4.0.3.2
AutoUpdate=full
CreateDate=2005-05-09
UnInstallExecute=disable
UnInstallRequest=disable
DateToSendNextHeartbeat=2005-08-30 16:07:39
DateOfCheckForNewValidate=2005-08-30 16:07:39
LastPrefs=Thu, 04 Aug 2005 14:30:49 GMT
LastValid=Thu, 04 Aug 2005 14:30:52 GMT
LastGlobal=Thu, 04 Aug 2005 14:30:55 GMT
Download=
ValidateXMLversion={89E98BD6-713E-4C4E-B419-78E1847ED4C5}
ValidatePath=/agent/validate.sah
TemplatePath=
Images=/images/mrchntimages/
PopupCloseButton=close.gif
PopupDefaultImage=popupDefault.gif
RedirectTo=http://www.shopathomeselect.com/frameset.asp
Categories=
Popup=
LSPVersion=1.1.1.1
GlobalPath=/agent/global.sah
SiteNotAvailablePeriod=10
ResponseTime=20
SuppressTimeout=10
RetryDays=5
PrefsXMLversion={89E98BD6-713E-4C4E-B419-78E1847ED4C5}
Suppress1=afsrc=1
Suppress2==notused=
IncUpdateEnabled=no
SearchEngineEnabled=s123|cgi.search123.com/cgi-bin/XMLFeed.cgi/5100?TYPE=Q&
START=0&SIZE=10&ADULT=NO&QUERY=%Q%&IP=%IP
%&UID=%ID%|&IP=%IP%&UID=%ID%&afsrc=1|1
SearchPopunderCount=2
ServiceDomain=gr1.cc
ServicePath=s.dll
NumberOfDaysNextHearbeart=7
NumberOfDaysNextValidate=7
NumberOfDaysNextUpdate=7
validate=Y
validateURL=www.shopathomeselect.com/agent/
update=Y
updateURL=downloads.shopathomeselect.com/v4030/setup4030.cab
LspSetupName=EulaUpgrade.exe
Country=DEU
GlobalXMLversion={89E98BD6-713E-4C4E-B419-78E1847ED4C5}
AttemptDownloadPrefs=ok
DateToCheckForNewUpdate=2005-09-01 12:17:11
RetryModeFinish=1130830274
AgentUpdateNeed=no
LSPUpdateNeed=no
UpgradeStatus=completed
UpdateSucceeded=
NamedBy=MadAdam
PongTimeout=180
InitRegDelayTime=10

SiteNotAvailableCounter=0
LastSearchPopUnder=2005-07-12
SearchPopunderNumber=0
CabDogVersion=4.0.3.1
CabDate=Tue, 14 Jun 2005 23:02:27 GMT
CabLastPrefsVersion=4.0.3.2
LastBce=
FullImages=downloads.shopathomeselect.com/images/mrchntimages/
[SAHPopup]
main=65706
name=Transformer
lastUpdateDate=2005-03-11
createDate=2005-03-11
locationX=100
locationY=100
dimensionX=100
dimensionY=100
showCloseButton=no
timer=0
delay=0
specialEffects=0
link=
top=655858
PopupRegType=
PopupAddress=
PopupPassword=
type=Popup
Popupname=Transformer
PopuplastUpdateDate=2005-03-11
PopupcreateDate=2005-03-11
PopuplocationX=100
PopuplocationY=100
PopupdimensionX=100
PopupdimensionY=100
PopupshowCloseButton=no
Popuptimer=0
Popupdelay=0
PopupspecialEffects=0
Popuplink=
popunder=
LastLogin=2005-08-07
popup=
PopupRegTypePrev=

#64 Hey Leute! Ich hab das gleiche Problem wie viele hier, dass Norton nix gegen den vbsys2.dll ausrichten kann.

Bin auch leider nich sehr bewandert mit Computernh habe aber jetzt auch einen Log von HijackThis gemacht!

Hoffe ihr könnt mir helfen! :-/


Logfile of HijackThis v1.99.1
Scan saved at 12:35:03, on 23.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0a\aoltray.exe
D:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Laura H\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: C:\WINDOWS\system32\miamores.dll - {0393FE81-0BBD-4BCE-B4F2-C643AA7D77DD} - C:\WINDOWS\system32\miamores.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINDOWS\system32\miamorecc.dll - {10BC40B5-5019-4A47-B033-308CA16D4959} - (no file)
O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll (file missing)
O2 - BHO: (no name) - {86B63B8C-CF9A-40FA-BD5A-2515308CDF8D} - C:\WINDOWS\System32\abfl.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\PROGRA~1\Accoona\atoolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [startup] C:\WINDOWS\System32\winlogon32.exe
O4 - HKLM\..\Run: [DLuxde] c:\program files\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [sysdxvid] c:\windows\system32\sysdxvid.exe /nocomm
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Scan Spyware] "C:\Programme\ScanSpyware v3.7\Scanner.exe" /rb
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = D:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamores.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamores.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\miamores.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\miamores.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://max-stats.com/partner/jpg+chm//x.chm::/open.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4213FBA5-03DF-4A12-A269-F016C165938E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E7CCBD8-C134-4135-82CB-2CAD555998E7}: NameServer = 205.188.146.145
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: classes - C:\WINDOWS\system32\miamores.dll
O20 - Winlogon Notify: cll - C:\WINDOWS\system32\miamorecc.dll
O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#65 hallo@Lindwurm

danke fuer die Infos von Sahagent
was man doch alles fuer einen Muell auf dem PC hat,....nicht wahr .....?

FindIts (Nail.exe/Software-aurora /Sahagent)--> poste bitte das log
http://virus-protect.org/artikel/tools/FindIts.html

schau, ob du das noch findest:...wenn ja...loeschen
l86pb320.dat
11a6ov78.dat
dpej5qch.dat
phi1imhq.dat
4amevhn2.dat
vaun1lkg.html

phv7ar9j.exe
nkiaqjrv.exe
1s3p7ncg.exe
l8i2l646s.dll
WEBInstaller.dll

setup4030.cab
etup4002b.cab
setup4002b.ini

sporder.dll
upgrade.exe

Zitat

27.10.2005 09:31 3.736 phv7ar9j.ini
25.08.2005 12:17 4.152 dpej5qch.dat
23.08.2005 16:07 34.064 11a6ov78.dat
23.08.2005 16:07 186.632 l86pb320.dat
07.08.2005 14:40 2.701 4amevhn2.dat
14.06.2005 15:34 203.264 phv7ar9j.exe
27.10.2005 09:41 0 vaun1lkg.html

__________
MfG Sabina

rund um die PC-Sicherheit

#66 hallo@tipse

nur als Information: seit dem 1.Maerz gibt es einen anonymen FTP-Server, der ueber einen Backdoor vollen Zugang zu deinem System hat und alle Dateien, Dokumente usw. runterladen kann
01.03.2005 17:31 0 TFTP2236

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=1001326
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=1001326

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

pc neustarten

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\System32\vbsys2.dll
c:\ex.cab
c:\eied_s7.cab
C:\WINDOWS\System32\TFTP2236

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

pc neustarten

scanne mit kaspersky
http://virus-protect.org/onlinescan.html
und poste den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#67 Nienna

arbeite das bitte laut Anleitungen ab und kopiere hier die 4 Logs
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#68 system32

31.10.2005 11:27 17.145 nvapps.xml
30.10.2005 11:57 39.992 perfc009.dat
30.10.2005 11:57 311.604 perfh009.dat
30.10.2005 11:57 316.594 perfh007.dat
30.10.2005 11:57 48.156 perfc007.dat
30.10.2005 11:57 723.744 PerfStringBackup.INI
18.09.2005 15:31 2.184 wpa.dbl
30.08.2005 07:42 241.536 FNTCACHE.DAT
26.08.2005 15:26 157.696 rmoc3260.dll
26.08.2005 15:26 25.088 prefscpl.cpl
26.08.2005 15:26 5.632 pndx5032.dll
26.08.2005 15:26 6.656 pndx5016.dll
26.08.2005 15:26 278.528 pncrt.dll
28.07.2005 13:52 91.856 S32EVNT1.DLL
01.07.2005 16:58 176.128 rdrlib.dll


system~1

31.10.2005 11:31 4 PMShared
31.10.2005 11:27 91.660 jusched.log
29.10.2005 06:08 207 1F1205F7.TMP
24.10.2005 16:22 37.376 ~WRS0001.tmp
24.10.2005 16:21 10.077 ~WRD0002.doc
24.10.2005 16:21 81.920 ~WRF0000.tmp
24.10.2005 16:21 764 mso7E7C9.wmf
23.10.2005 19:18 0 WER131.tmp
23.10.2005 00:32 0 299051.dmp
16.10.2005 16:00 46.208 IG22EC.tmp
16.10.2005 15:52 12.288 IG22C1.tmp
16.10.2005 15:51 46.208 IG22BA.tmp
16.10.2005 15:51 12.288 IG22B9.tmp
16.10.2005 15:50 12.288 IG22B7.tmp
16.10.2005 15:46 12.288 IG22B5.tmp
16.10.2005 15:43 12.288 IG22A6.tmp
16.10.2005 15:41 12.288 IG22A0.tmp
16.10.2005 15:41 12.288 IG229F.tmp
16.10.2005 15:36 12.288 IG2288.tmp
16.10.2005 15:35 5.376 IG2285.tmp
03.10.2005 13:33 16.384 ~DFA231.tmp
28.09.2005 17:23 61 windvd.tmp
27.09.2005 15:11 0 ygp12F.tmp
27.09.2005 13:46 770 MSI496b8.LOG
21.09.2005 13:15 112.684.547 wed130.tmp
12.09.2005 23:55 375.848 msgr7de.exe
11.09.2005 19:11 0 h2rE1.tmp
11.09.2005 19:11 9.539 r2hE0.tmp
11.09.2005 19:10 9.539 r2hDD.tmp
11.09.2005 19:10 0 h2rDE.tmp
11.09.2005 14:36 717 control.xml
05.09.2005 07:12 0 WER13.tmp
04.09.2005 20:54 0 WERC9.tmp
04.09.2005 20:54 0 WERC8.tmp
04.09.2005 20:54 0 WERC7.tmp
03.09.2005 13:42 0 WMPD4.tmp
01.09.2005 19:09 0 logfile.txt
01.09.2005 11:43 16.384 ~DF746D.tmp
29.08.2005 22:15 8.118 doodle.bmp
29.08.2005 22:15 8.118 peanuts.bmp
26.08.2005 11:31 16 persistent_state

system

31.07.2022 19:29 4.262.292 s&f_UnIn.exe
31.10.2005 13:59 177 Winamp.ini
31.10.2005 13:59 1.139 entpack.ini
31.10.2005 11:30 1.050 win.ini
31.10.2005 11:27 0 0.log
31.10.2005 11:26 1.993.428 WindowsUpdate.log
31.10.2005 11:26 159 wiadebug.log
31.10.2005 11:26 50 wiaservc.log
31.10.2005 11:26 2.048 bootstat.dat
30.10.2005 23:20 32.460 SchedLgU.Txt
21.10.2005 16:45 1.164.326 setupapi.log
21.10.2005 16:30 6.036 switchagreement.txt
21.10.2005 16:30 1 twainx.bin
21.10.2005 16:30 93 KB842252.log
15.10.2005 11:20 881 Directx.log
01.10.2005 18:29 18 ssetup.ini
28.09.2005 17:00 316.640 WMSysPr9.prx
27.09.2005 13:55 30 Iedit.INI
16.09.2005 19:46 2 imsins_.bin
11.09.2005 14:36 17.854 wmsetup.log
08.09.2005 19:51 886 EntPack.dat
26.08.2005 11:36 174.919 setupact.log
11.08.2005 10:18 12.686 SYMEVENT.LOG
12.07.2005 14:02 11.866 EAConfigInfo.txt

sys

01.11.2005 02:17 0 sys.txt
01.11.2005 02:17 8.097 system.txt
01.11.2005 02:15 2.658 systemtemp.txt
01.11.2005 02:14 100.996 system32.txt
31.10.2005 11:26 1.048.576.000 pagefile.sys
03.10.2005 09:47 4.404 cmd.hta
28.09.2005 17:32 1.256 sti.log
20.08.2005 12:57 16.320 all.exe


danke schonmal für die schnelle hilfe

#69 Hallo Sabina,
bezüglich Deiner Arbeitsanweisung vom 26.10.2005
"
Start-->ausfuehren--> regedit
bearbeiten--> suchen
MirarSetup.exe
MediaTicketsInstaller.ocx
loesche alle diese Eintraege rechts von der Registry (aber nur diese) und starte den PC neu"

Habe ich gemacht. Beim Löschen von (STANDARD) erscheint die Meldung
"nicht alle angegebenen Werte können gelöscht werden."

Ist mein PC jetzt "sauber"?.
Habe mir jetzt die Sicherheits CD 1 und CD 2 von MS besorgt. Kann ich jetzt die Programme von diesen CD's installieren? Könnte es mit Konflikten mit "Norton Internet Security" kommen?
Gruß
Luc

#70 Hallo Sabina,

habe nur zwei der angegebenen Dateien gefunden.
phi1imhq.dat - im windows\system32 -Ordner
sporder.dll - im windows\system32\Activescan -Ordner
Habe beide gelöscht. Hier nun die Log von dem FindIt's Scan.

Gruß Jenny

Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

»»»»» lagitamate file's can/will show in this section.

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E2-D58F

Verzeichnis von C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E2-D58F

Verzeichnis von C:\WINDOWS\system32
30.10.2005 09:42 1.406 AddQuit.ico
30.10.2005 09:42 9.470 Desktop.ico
30.10.2005 09:42 1.406 Help.ico
30.10.2005 09:42 5.350 IE.ico
30.10.2005 09:42 1.718 Open.ico
30.10.2005 09:42 1.718 Quick.ico
30.10.2005 09:42 2.550 Uninstall.ico
7 Datei(en) 23.618 Bytes
0 Verzeichnis(se), 16.786.931.712 Bytes frei
»»»»»»»»»»»»»»»»»»»»»»»».

#71 Lindwurm

loesche mit der Killbox:

30.10.2005 09:42 1.406 C:\WINDOWS\system32\AddQuit.ico
30.10.2005 09:42 9.470 C:\WINDOWS\system32\Desktop.ico
30.10.2005 09:42 1.406 C:\WINDOWS\system32\Help.ico
30.10.2005 09:42 5.350 C:\WINDOWS\system32\IE.ico
30.10.2005 09:42 1.718 C:\WINDOWS\system32\Open.ico
30.10.2005 09:42 1.718 C:\WINDOWS\system32\Quick.ico
30.10.2005 09:42 2.550 C:\WINDOWS\system32\Uninstall.ico
__________
MfG Sabina

rund um die PC-Sicherheit

#72 Luc

in der Registry muss man sehr vorsichtig sein.
Mach dir bitte die Muhe und schreibe mir, welche Eintraege sich in der Registry nicht loeschen lassen
__________
MfG Sabina

rund um die PC-Sicherheit

#73 Nienna

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://sandbox.norman.no/live_4.html
http://www.virustotal.com/flash/index_en.html

C:\all.exe
C:\WINDOWS\s&f_UnIn.exe
C:\cmd.hta
C:\WINDOWS\System32\desktop.exe
C:\WINDOWS\System32\msmsgs.exe
c:\windows\system32\sysdxvid.exe
C:\WINDOWS\System32\winlogon32.exe
C:\Dokumente und Einstellungen\Laura H\Lokale Einstellungen\Temp\msgr7de.exe
C:\all.exe


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: C:\WINDOWS\system32\miamores.dll - {0393FE81-0BBD-4BCE-B4F2-C643AA7D77DD} - C:\WINDOWS\system32\miamores.dll
O2 - BHO: C:\WINDOWS\system32\miamorecc.dll - {10BC40B5-5019-4A47-B033-308CA16D4959} - (no file)
O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll (file missing)
O2 - BHO: (no name) - {86B63B8C-CF9A-40FA-BD5A-2515308CDF8D} - C:\WINDOWS\System32\abfl.dll (file missing)
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\PROGRA~1\Accoona\atoolbar.dll
O4 - HKLM\..\Run: [startup] C:\WINDOWS\System32\winlogon32.exe
O4 - HKLM\..\Run: [DLuxde] c:\program files\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm
O4 - HKLM\..\Run: [sysdxvid] c:\windows\system32\sysdxvid.exe /nocomm
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\Run: [Scan Spyware] "C:\Programme\ScanSpyware v3.7\Scanner.exe" /rb
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamores.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamores.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\miamores.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\miamores.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://max-stats.com/partner/jpg+chm//x.chm::/open.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E7CCBD8-C134-4135-82CB-2CAD555998E7}: NameServer = 205.188.146.145
O20 - Winlogon Notify: classes - C:\WINDOWS\system32\miamores.dll
O20 - Winlogon Notify: cll - C:\WINDOWS\system32\miamorecc.dll
O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll (file missing)

PC neustarten

KILLBOX
http://virus-protect.org/killbox.html
Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\system32\miamores.dll
C:\WINDOWS\system32\atmpvc.dll
:\WINDOWS\System32\abfl.dll
C:\WINDOWS\system32\miamorecc.dll
c:\ex.cab
c:\eied_s7.cab
c:\ied_s7.cab
C:\Dokumente und Einstellungen\Laura H\Lokale Einstellungen\Temp\msgr7de.exe
C:\Dokumente und Einstellungen\Laura H\Lokale Einstellungen\Temp\doodle.bmp
C:\Dokumente und Einstellungen\Laura H\Lokale Einstellungen\Temp\peanuts.bmp
C:\WINDOWS\System32\desktop.exe
C:\WINDOWS\System32\msmsgs.exe
c:\windows\system32\sysdxvid.exe
c:\windows\system32\tdpmx.exe
c:\program files\dialers\dluxde\dluxde.exe
c:\program files\dialers\dluxde
c:\program files\dialers
C:\WINDOWS\System32\winlogon32.exe
c:\windows\system32\msbnk.dll
c:\windows\system32\rdrlib.dll
C:\cmd.hta

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

pc neustarten

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

C:\Dokumente und Einstellungen\Laura H\Lokale Einstellungen\Temp <--muss leer sein



deinstalliere:/loesche
C:\PROGRA~1\Accoona
c:\program files\dialers

Conterspy
http://virus-protect.org/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

---------------------------------------------------------------------
http://www.sophos.com/virusinfo/analyses/trojbankhofb.html
__________
MfG Sabina

rund um die PC-Sicherheit

#74 Hallo Sabina,

habe die Dateien mit Killbox gelöscht und einen erneuten Scan mit FindIt's durchgeführt. Die Logdatei sieht nun so aus.

Gruß Jenny

Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

»»»»» lagitamate file's can/will show in this section.

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E2-D58F

Verzeichnis von C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48E2-D58F

Verzeichnis von C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»».

#75 Lindwurm

du hast wunderbar alles ausgefuehrt ....ich erkuehne mich mal zu sagen, dass der PC clean ist .
Alles Gute fuer dich + PC
Tipp:
http://virus-protect.org/administrator.html
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
__________
MfG Sabina

rund um die PC-Sicherheit