Home » Viren, Trojaner & Malware Forum » click.526, qhost.qr, vidro.u » Themenansicht

click.526, qhost.qr, vidro.u
#0
13.10.2005, 23:01
ramnixx
...neu hier

Beiträge: 6
#1 Hallo zusammen,

mich hat es erwischt, aber wie ich feststellen muss bin ich nicht der einzige. Die o.g. Trojaner oder was auch immer werden von meinem antivir immer wieder lokalisiert, aber nicht vernichtet. Ich benutze die McAfee-firewall. Kann mir jemand helfen die Dinger wieder los zu werden.
Wie ich aus den anderen Berichten entnehmen kann gibt es kein grundsätzliches Rezept. Ich habe mich aber durch den Beitrag von "Sabina" und "Dennis1978" durchgearbeitet und stelle hier nun die erzeugten Dateien an auch auf die Gefahr hin das dies nicht nötig war (Ich wollte einfach schon mal was machen!!!). Sollte noch das hijack-file benötigt werden bitte ich um Nachricht.

Bitte helft mir:


hier die Textdatei von F-secure-Beta Trial:

10/13/05 21:20:26 [Info]: BlackLight Engine 1.0.23 initialized
10/13/05 21:20:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/13/05 21:20:26 [Note]: 4019 4
10/13/05 21:20:26 [Note]: 4005 0
10/13/05 21:20:34 [Note]: 4006 0
10/13/05 21:20:34 [Note]: 4011 3564
10/13/05 21:20:35 [Note]: FSRAW library version 1.7.1011
10/13/05 21:21:03 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
10/13/05 21:21:03 [Note]: 10002 1
10/13/05 21:21:10 [Info]: Hidden file: C:\WINDOWS\system32\loadctr32.exe
10/13/05 21:21:10 [Note]: 10002 1
10/13/05 21:21:13 [Info]: Hidden file: C:\WINDOWS\system32\HCLEAN32.EXE.VIR
10/13/05 21:21:13 [Note]: 10002 1
10/13/05 21:21:14 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
10/13/05 21:21:14 [Note]: 10002 1
10/13/05 21:21:18 [Info]: Hidden file: C:\WINDOWS\system32\cscmz.exe
10/13/05 21:21:18 [Note]: 4002 32
10/13/05 21:21:18 [Note]: 4003 1
10/13/05 21:21:18 [Note]: 10002 1
10/13/05 21:21:47 [Note]: 4007 0


datFind.bat die erste:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 146C-2993

Verzeichnis von C:\DOKUME~1\Vera\LOKALE~1\Temp

13/10/2005 21:22 0 Acr2C.tmp
13/10/2005 21:22 0 Acr2B.tmp
13/10/2005 21:12 52,076 ZTR1D.tmp
13/10/2005 17:55 16,384 Perflib_Perfdata_e7c.dat
4 Datei(en) 68,460 Bytes
0 Verzeichnis(se), 25,221,668,864 Bytes frei


datFind.bat die zweite:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 146C-2993

Verzeichnis von C:\WINDOWS\system32

12/10/2005 18:46 27,649 pqwxn.exe
12/10/2005 08:26 2,206 wpa.dbl
01/10/2005 19:04 79,236 NULL
01/10/2005 19:03 374,064 perfh009.dat
01/10/2005 19:03 50,532 perfc009.dat
01/10/2005 19:03 384,216 perfh007.dat
01/10/2005 19:03 61,096 perfc007.dat
01/10/2005 19:03 853,572 PerfStringBackup.INI
03/08/2005 22:34 8 zksdfnsuidfsdiu.jhk
03/08/2005 22:09 705 certcclie.exe
29/06/2005 03:49 254,976 icm32.dll
29/06/2005 03:49 74,240 mscms.dll
19/04/2005 20:22 285,312 FNTCACHE.DAT
02/04/2005 13:28 339,968 CoolXPButton.ocx
02/03/2005 20:09 291,840 winsrv.dll
02/03/2005 20:09 56,832 authz.dll
02/03/2005 20:09 578,560 user32.dll
02/03/2005 20:06 2,181,632 ntoskrnl.exe
02/03/2005 20:06 2,059,136 ntkrnlpa.exe
02/03/2005 20:06 1,836,416 win32k.sys
01/03/2005 01:11 8,491,008 shell32.dll
25/02/2005 05:34 15,584 spmsg.dll
23/01/2005 22:15 0 dktibs.exe
23/01/2005 22:15 5,555 menu.txt
23/01/2005 22:15 20 date.dat
23/01/2005 22:15 29,720 run_dos.dll
04/01/2005 12:26 65,613 ppvexp.dll
Seitenanfang Seitenende
14.10.2005, 03:27
Gool
Member
Avatar Gool

Beiträge: 4730
#2 Du hast jetzt nur die ersten beiden Log-Dateien gepostet, dafür aber auch eine Menge Einträge, die nicht benötigt werden. Bitte nur die Einträge der vergangenen drei bis vier Wochen posten (Du siehst ja das Datum vor den Einträgen).

Außerdem ein HJT-Log:
http://managor.de/hjt.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.10.2005, 15:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 poste bitte noch die restlichen 2 Logs datFind.bat

poste winpfind
http://virus-protect.org/winpfind.html

silentrunner
http://virus-protect.org/silentrunner.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above --> just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Zitat

C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\HCLEAN32.EXE.VIR
C:\WINDOWS\system32\cscmz.exe
C:\WINDOWS\system32\pqwxn.exe

03/08/2005 22:34 8 zksdfnsuidfsdiu.jhk
03/08/2005 22:09 705 certcclie.exe
http://virus-protect.org/artikel/spyware/hclean32.html
23/01/2005 22:15 0 dktibs.exe (Troj/Dloader-CX)
23/01/2005 22:15 5,555 menu.txt
23/01/2005 22:15 20 date.dat
23/01/2005 22:15 29,720 run_dos.dll

TOOLBAR.EXE, TEST, MSTASKS1.EXE, MSTASKS2.EXE und MSTASKS3.EXE im Windows-Ordner sowie in die Dateien DKTIBS.EXE und SYSTIME.EXE

-----------

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2005, 21:59
ramnixx
...neu hier

Themenstarter

Beiträge: 6
#4 Hallo sabina,
hallo managor,


sorry aber war beim letzten mal ein bischen spät geworden. Ich habe alle Dateien nochmal aktualisiert und hier angestellt. Ich hoffe diesmal passts (incl. hijackthis.log). Aber schon mal danke für die Bereitschaft.



Textdatei von f-secure blbeta:

10/19/05 20:38:41 [Info]: BlackLight Engine 1.0.23 initialized
10/19/05 20:38:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/19/05 20:38:41 [Note]: 4019 4
10/19/05 20:38:41 [Note]: 4005 0
10/19/05 20:38:47 [Note]: 4006 0
10/19/05 20:38:47 [Note]: 4011 1816
10/19/05 20:38:47 [Note]: FSRAW library version 1.7.1011
10/19/05 20:39:15 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
10/19/05 20:39:15 [Note]: 10002 1
10/19/05 20:39:22 [Info]: Hidden file: C:\WINDOWS\system32\favme.exe
10/19/05 20:39:22 [Note]: 10002 1
10/19/05 20:39:23 [Info]: Hidden file: C:\WINDOWS\system32\loadctr32.exe
10/19/05 20:39:23 [Note]: 10002 1
10/19/05 20:39:26 [Info]: Hidden file: C:\WINDOWS\system32\hclean32.exe
10/19/05 20:39:26 [Note]: 10002 1
10/19/05 20:39:26 [Info]: Hidden file: C:\WINDOWS\system32\HCLEAN32.EXE.VIR
10/19/05 20:39:26 [Note]: 10002 1
10/19/05 20:39:28 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
10/19/05 20:39:28 [Note]: 10002 1
10/19/05 20:39:32 [Info]: Hidden file: C:\WINDOWS\system32\csaro.exe
10/19/05 20:39:32 [Note]: 4002 32
10/19/05 20:39:32 [Note]: 4003 1
10/19/05 20:39:32 [Note]: 10002 1
10/19/05 20:40:01 [Note]: 4007 0

datFind.dat die erste (die ersten paar Dateien):

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 146C-2993

Verzeichnis von C:\WINDOWS\system32

19/10/2005 14:20 2,206 wpa.dbl
12/10/2005 18:46 27,649 pqwxn.exe
01/10/2005 19:04 79,236 NULL
01/10/2005 19:03 374,064 perfh009.dat
01/10/2005 19:03 50,532 perfc009.dat
01/10/2005 19:03 384,216 perfh007.dat
01/10/2005 19:03 61,096 perfc007.dat
01/10/2005 19:03 853,572 PerfStringBackup.INI
03/08/2005 22:34 8 zksdfnsuidfsdiu.jhk
03/08/2005 22:09 705 certcclie.exe
29/06/2005 03:49 254,976 icm32.dll
29/06/2005 03:49 74,240 mscms.dll


datFind.dat die zweite:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 146C-2993

Verzeichnis von C:\DOKUME~1\Vera\LOKALE~1\Temp

19/10/2005 20:35 0 Acr4.tmp
19/10/2005 20:35 0 Acr3.tmp
19/10/2005 20:34 16,384 Perflib_Perfdata_118.dat
3 Datei(en) 16,384 Bytes
0 Verzeichnis(se), 24,868,855,808 Bytes frei



datFind.dat die dritte:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 146C-2993

Verzeichnis von C:\

19/10/2005 20:41 0 sys.txt
19/10/2005 20:41 5,620 system.txt
19/10/2005 20:41 387 systemtemp.txt
19/10/2005 20:41 105,491 system32.txt
19/10/2005 20:33 267,964,416 hiberfil.sys
19/10/2005 20:33 402,653,184 pagefile.sys
13/10/2005 22:21 32 windows.txt
13/10/2005 22:16 259 win.txt
13/10/2005 22:09 43 start.txt
04/10/2005 21:54 211 boot.ini
04/10/2005 21:52 193 TO_InstallLog.txt
04/10/2005 14:54 1,445,221 Gates-2005-Euro.zip
19/01/2005 16:19 1,179,128 Listino Prezzi TEXROPE 20051.pdf


und last but not least datFind.bat die vierte:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 146C-2993

Verzeichnis von C:\WINDOWS

19/10/2005 20:39 468,392 WindowsUpdate.log
19/10/2005 20:34 159 wiadebug.log
19/10/2005 20:34 50 wiaservc.log
19/10/2005 20:33 2,048 bootstat.dat
19/10/2005 20:32 32,536 SchedLgU.Txt
19/10/2005 20:03 6,400 balloon.wav
04/10/2005 21:54 1,003 win.ini
04/10/2005 21:54 227 system.ini
04/10/2005 21:28 211 uno.ini
02/10/2005 12:44 955 orun32.ini
06/09/2005 17:45 25 mixerdef.ini
06/09/2005 17:45 362 WININIT.INI
06/09/2005 17:44 122 Winchat.ini
05/09/2005 21:17 0 Sti_Trace.log



die log.txt von rtfiles.bat

C:\Dokumente und Einstellungen\Michael\Eigene Dateien\temp\Trojaner

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\certcclie.exe: PEFSG!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\certcclie.exe: PEFSG!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\epsuninst.exe: UPX!
Finished
bye



und die Startup programm Datei von silent runners:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AOLMIcon" = "C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe" [file not found]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"hclean32.exe" = "C:\WINDOWS\system32\hclean32.exe" [null data]
"dmgae.exe" = "C:\WINDOWS\system32\dmgae.exe" [file not found]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"McAfee Guardian" = ""C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGRDIAN.EXE" /SU" ["Network Associates, Inc."]
"LWBMOUSE" = "C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [empty string]
"KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS]
"ISDN SpeedManager" = ""C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"" ["T-Systems International GmbH"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"Corel Reminder" = (empty string)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cskqx.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Vera\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Vera" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\Vera\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe" ["Adobe Systems Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\System32\CSLSP.DLL ["Networks Associates Technologies, Inc."], 01 - 17, 35
%SystemRoot%\system32\mswsock.dll [MS], 18 - 20, 23 - 34
%SystemRoot%\system32\rsvpsp.dll [MS], 21 - 22


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{543CDDE7-DF47-47DD-9339-0B023AC5DCA8}\
"ButtonText" = "MedionShop"
"Exec" = "http://www.medionshop.de" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.medion.de

Missing lines (compared with English-language version):
[Strings]: 1 line


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Anwendungsverwaltung, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
ASP.NET-Statusdienst, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\mspmsnsv.dll" [MS]}
HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
McAfee Firewall, McAfee Firewall, ""C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE" ["Network Associates, Inc."]
Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
svchost.exe, moto, "C:\WINDOWS\svchost.exe" [file not found]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]
PDF Port\Driver = "C:\WINDOWS\System32\pdfports.dll" ["Adobe Systems Incorporated."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 45 seconds, including 17 seconds for message boxes)




und als letztes der hijackthis.log:


Logfile of HijackThis v1.99.1
Scan saved at 21:45:36, on 19/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGRDIAN.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Eigene Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGRDIAN.EXE" /SU
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106397192765
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Seitenanfang Seitenende
19.10.2005, 23:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten

C:\WINDOWS\epsuninst.exe

poste das Ergebnis

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\protect32.dll/sp.html (obfuscated)

023 -Eintraege loeschen:
Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

PC neustarten


---------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[-HKEY_LOCAL_MACHINE\Software\CLASSES\HCLEAN32.EXE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
[-HKEY_CURRENT_USER\Software\WareOut]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]
[-HKEY_CURRENT_USER\Software\SearchToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"=-
"dmgae.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Flags"=dword:00000008
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000]
"runonce1"="\"C:\\HJT\\hijackthis.exe\""
KILLBOX - Pocket KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\protect32.dll
C:\WINDOWS\system32\HCLEAN32.EXE.VIR
C:\WINDOWS\system32\HCLEAN32.EXE
C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\system32\cscmz.exe
C:\WINDOWS\system32\certcclie.exe
C:\WINDOWS\system32\pqwxn.exe
C:\WINDOWS\system32\cskqx.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system\svchost.dll
C:\WINDOWS\system32\zksdfnsuidfsdiu.jhk
C:\WINDOWS\system32\dmgae.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\system32\dktibs.exe
C:\WINDOWS\system32\menu.txt
C:\WINDOWS\system32\date.dat
C:\WINDOWS\system32\run_dos.dll

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

------------------------------------------------------------------------------------------
counterspy
http://virus-protect.org/counterspy.html
- Klicke: "Run a Spyware Scan Now"

- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu -->poste den scanreport

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.10.2005, 17:39
ramnixx
...neu hier

Themenstarter

Beiträge: 6
#6 Hallo Sabina,

danke für die schnelle Antwort. Soweit habe ich alle Anweisungen durchführen können, siehe angehängt scan-files. Ein Hinweis noch um mit HijackThis den service "moto" zu löschen musste ich erst den Service "svchost.exe" deaktivieren.(?)
Ich habe conterspy nicht im abgesicherten Modus laufen lassen. Ich hoffe das war ok. Beim remove nach dem scan ging immer wieder mein antivir-alarm hoch. Dies passierte auch beim Scan von kaspersky.(?) Ein Auszug aus der Reportdatei von AntiVirGuard habe ich auch mal angehangen.


Schöne Grüße.


Hier der log von VirusTotal für epsuninst.exe:


This is a report processed by VirusTotal on 10/20/2005 at 20:35:43 (CET) after scanning the file "epsuninst.exe" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 10.20.2005 no virus found
Avast 4.6.695.0 10.20.2005 no virus found
AVG 718 10.18.2005 no virus found
Avira 6.32.0.6 10.20.2005 no virus found
BitDefender 7.2 10.20.2005 no virus found
CAT-QuickHeal 8.00 10.19.2005 no virus found
ClamAV devel-20050917 10.20.2005 no virus found
DrWeb 4.32b 10.20.2005 no virus found
eTrust-Iris 7.1.194.0 10.19.2005 no virus found
eTrust-Vet 11.9.1.0 10.20.2005 no virus found
Fortinet 2.48.0.0 10.20.2005 no virus found
F-Prot 3.16c 10.20.2005 no virus found
Ikarus 0.2.59.0 10.20.2005 no virus found
Kaspersky 4.0.2.24 10.20.2005 no virus found
McAfee 4609 10.20.2005 no virus found
NOD32v2 1.1261 10.19.2005 no virus found
Norman 5.70.10 10.20.2005 no virus found
Panda 8.02.00 10.20.2005 no virus found
Sophos 3.98.0 10.20.2005 no virus found
Symantec 8.0 10.19.2005 no virus found
TheHacker 5.8.4.126 10.20.2005 no virus found
VBA32 3.10.4 10.20.2005 no virus found



hier der scanreport von counterspy:

Spyware Scan Details
Start Date: 20/10/2005 21:58:31
End Date: 20/10/2005 22:43:29
Total Time: 44 mins 58 secs

Detected spyware

IESearchToolbar Browser Hijacker more information...
Details: IESearchToolbar is an Internet Explorer toolbar that hijacks the web browser search settings.
Status: Deleted

Infected files detected
c:\windows\toolbar.exe


Unclassified.Trojan.E Trojan more information...
Status: Deleted

Infected files detected
c:\windows\system32\dktibs.exe


Trojan.Downloader Stc Trojan more information...
Details: Swarm Installer.
Status: Deleted

Infected files detected
c:\windows\system32\zksdfnsuidfsdiu.jhk


Worm:Win32/Gaobot.dr Worm more information...
Details: This worm also appears to create a file called bleh.exe - its purpose is currently unknown.
Status: Deleted

Infected files detected
c:\windows\system32\hclean32.exe
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.001
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.002
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.003
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.004
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.005
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.006
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.007
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.008
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.009
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.010
C:\Programme\AVPersonal\INFECTED\HCLEAN32.EXE.VIR
C:\WINDOWS\system32\HCLEAN32.EXE.VIR


Trojan.Downloader.Small.popcorn Trojan Downloader more information...
Status: Deleted

Infected files detected
c:\windows\rdt.ini
c:\windows\system32\ntfsnlpa.exe


WareOut Potentially Unwanted Software more information...
Details: WareOut is a potentially unwanted software program that is masquerading as a spyware and dialer remover.
Status: Deleted

Infected files detected
c:\windows\system32\loadctr32.exe


Trojan.Startup.NameShifter.CQ Trojan more information...
Status: Deleted

Infected files detected
C:\Programme\AVPersonal\INFECTED\DMGAE.EXE.VIR


PWS-Pinch Password Stealer more information...
Status: Deleted

Infected files detected
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.001
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.002
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.003
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.004
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.005
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.006
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.007
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.008
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.009
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.VIR


SpyGraphica Professional 3.0 Commercial Key Logger more information...
Details: SpyGraphica secretly monitors the PC and then delivers detailed remote activity reports to any e-mail address, as often as every 15 minutes.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0\0\win32 C:\WINDOWS\system32\Ccrpsld.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0\FLAGS 2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0\HELPDIR C:\WINDOWS\system32\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0 CCRP Slider Control




hier der scanreport von kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, October 21, 2005 19:35:08
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 21/10/2005
Kaspersky Anti-Virus database records: 146035
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
H:\
I:\

Scan Statistics:
Total number of scanned objects: 75684
Number of viruses found: 3
Number of infected objects: 7
Number of suspicious objects: 0
Duration of the scan process: 5763 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Outlookarchiv\persönliche Ordner20040516.pst/Persönliche Ordner/Gelöschte Objekte/21 Jan 2004 19:33 from netzui@yatroo.com:Antwort von Diana/Dian-jpg.com Infected: Trojan.Win32.Dilya
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Outlookarchiv\persönliche Ordner20040516.pst Infected: Trojan.Win32.Dilya
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP207\A0054972.exe Infected: Trojan.Win32.Qhost.ec
C:\System Volume Information\_restore{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP209\A0055031.exe Infected: Trojan.Win32.Qhost.ec
D:\Dateien\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/21 Jan 2004 19:33 from netzui@yatroo.com:Antwort von Diana/Dian-jpg.com Infected: Trojan.Win32.Dilya
D:\Dateien\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Infected: Trojan.Win32.Dilya
D:\Dateien\Michael\Lokale Einstellungen\Temp\84.tmp Infected: Trojan.Win32.Liech.c

Scan process completed.




hier wie oben beschrieben der Auszug aus der Reportdatei von AntiVirGuard während des scans von kaspersky:

21.10.2005,18:31:44 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP173\A0038458.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:32:48 [WARNUNG] Ist das Trojanische Pferd TR/DNSChanger.S.1.B!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP173\A0038462.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:33:35 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP179\A0045263.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:33:37 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP179\A0045278.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:33:39 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP179\A0045284.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:33:40 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP179\A0045290.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:33:42 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP179\A0045299.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:33:45 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{82A5659D-CF30-4B37-8F25-57D6B1091131}\RP179\A0045331.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,18:33:48 [WARNUNG] Ist das Trojanische Pferd TR/Vidro.U!
C:\SYSTEM VOLUME
Seitenanfang Seitenende
22.10.2005, 22:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 ramnixx

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

loesche mit der Killbox:

C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.001
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.002
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.003
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.004
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.005
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.006
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.007
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.008
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.009
C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.VIR
D:\Dateien\Michael\Lokale Einstellungen\Temp\84.tmp
c:\windows\system32\hclean32.exe
c:\windows\system32\loadctr32.exe
c:\windows\rdt.ini
c:\windows\system32\ntfsnlpa.exe
c:\windows\system32\zksdfnsuidfsdiu.jhk
c:\windows\system32\dktibs.exe
C:\Programme\AVPersonal\INFECTED\DMGAE.EXE.VIR
c:\windows\toolbar.exe

PC neustarten

dann scanne noch mal mit Counterspy, wenn der Scan fertig ist, stelle alles gefundene malware auf "remove", starte den PC neu und poste das neue Log vom Counterspy
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.10.2005, 20:01
ramnixx
...neu hier

Themenstarter

Beiträge: 6
#8 Hallo Sabina,


CounterSpy hat nun wesentlich weniger gefunden :-).

Hier der log nach dem Scan, oder sollte ich nach dem PC-Start nochmal scannen (also insgesamt 2 mal)?

Vielleicht noch zwei Fragen vor dem möglichen Ende unserer Sitzung:
1.) Ich habe auf meinem Rechner 2 Administratoren als User. Muss ich für den zweiten user diese Schritte ebenfalls durchführen oder ist das hiermit hinfällig.

2.) Wie kann ich mich vor click.526, qhost.qr, vidro.u usw. demnächst schüzten? Ist meine Firewall und der Virusscanner ok?



CounterSpy-Log:

Spyware Scan Details
Start Date: 24/10/2005 21:54:17
End Date: 24/10/2005 22:34:43
Total Time: 40 mins 26 secs

Detected spyware

SpyGraphica Professional 3.0 Commercial Key Logger more information...
Details: SpyGraphica secretly monitors the PC and then delivers detailed remote activity reports to any e-mail address, as often as every 15 minutes.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0\0\win32 C:\WINDOWS\system32\Ccrpsld.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0\FLAGS 2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0\HELPDIR C:\WINDOWS\system32\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB4F6C60-4898-11D2-9692-204C4F4F5020}\1d.0 CCRP Slider Control


DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\vera\cookies\vera@doubleclick[2].txt


Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\vera\cookies\vera@mediaplex[1].txt
Seitenanfang Seitenende
29.10.2005, 23:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 loesche, falls du es findest:
C:\WINDOWS\system32\Ccrpsld.ocx

poste das neue Log vom Silentrunner+
http://virus-protect.org/silentrunner.html

winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2005, 10:26
ramnixx
...neu hier

Themenstarter

Beiträge: 6
#10 Hallo Sabina,

die Datei Ccrpsld.ocx konnte ich im windows/system32-Verzeichnis löschen.


hier der neue Log von Silent Runners:


"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AOLMIcon" = "C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe" [file not found]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"McAfee Guardian" = ""C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGRDIAN.EXE" /SU" ["Network Associates, Inc."]
"LWBMOUSE" = "C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [empty string]
"KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS]
"ISDN SpeedManager" = ""C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"" ["T-Systems International GmbH"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"Corel Reminder" = (empty string)
"SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{076394AD-7FDD-44EF-A075-32C68DBAB99B}" = "*b" (unwritable string)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunExecuteHook.dll" ["Sunbelt Software"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Vera\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Vera" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\Vera\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe" ["Adobe Systems Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\System32\CSLSP.DLL ["Networks Associates Technologies, Inc."], 01 - 17, 35
%SystemRoot%\system32\mswsock.dll [MS], 18 - 20, 23 - 34
%SystemRoot%\system32\rsvpsp.dll [MS], 21 - 22


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{543CDDE7-DF47-47DD-9339-0B023AC5DCA8}\
"ButtonText" = "MedionShop"
"Exec" = "http://www.medionshop.de" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.medion.de

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
McAfee Firewall, McAfee Firewall, ""C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE" ["Network Associates, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]
PDF Port\Driver = "C:\WINDOWS\System32\pdfports.dll" ["Adobe Systems Incorporated."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 83 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 21 seconds.
---------- (total run time: 129 seconds)



Scanergebniss von WinPFind:



WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
FSG! 19/10/2005 20:16:02 43 C:\start.txt
FSG! 19/10/2005 20:22:54 259 C:\win.txt
PEC2 19/10/2005 20:22:54 259 C:\win.txt
UPX! 19/10/2005 20:28:20 32 C:\windows.txt

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 12/07/2003 18:35:50 231936 C:\WINDOWS\epsuninst.exe
aspack 01/09/2003 04:00:00 117760 C:\WINDOWS\W0190WUn.EXE

Checking %System% folder...
FSG! 03/08/2005 21:09:06 705 C:\WINDOWS\SYSTEM32\certcclie.exe
PTech 15/03/1999 15:13:54 30678 C:\WINDOWS\SYSTEM32\Cror714.hlp
PTech 15/03/1999 15:13:54 30678 C:\WINDOWS\SYSTEM32\Cror814.hlp
PEC2 18/08/2001 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 07/03/2004 23:16:02 73728 C:\WINDOWS\SYSTEM32\dtSystemMonitor.ocx
aspack 03/08/2004 23:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 03/08/2004 23:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18/08/2001 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 03/08/2004 21:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
01/11/2005 10:07:36 S 2048 C:\WINDOWS\bootstat.dat
01/11/2005 10:08:36 H 1024 C:\WINDOWS\system32\config\default.LOG
01/11/2005 10:07:44 H 1024 C:\WINDOWS\system32\config\SAM.LOG
01/11/2005 10:08:02 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
01/11/2005 10:10:08 H 1024 C:\WINDOWS\system32\config\software.LOG
01/11/2005 10:08:38 H 1024 C:\WINDOWS\system32\config\system.LOG
01/10/2005 18:24:24 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\d47de579-c546-4c2a-816b-f754db40a079
01/10/2005 18:24:24 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
01/11/2005 10:07:40 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 03/08/2004 23:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 03/08/2004 23:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 03/08/2004 23:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 03/08/2004 23:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 03/08/2004 23:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 03/08/2004 23:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 03/08/2004 23:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 03/08/2004 23:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 03/08/2004 23:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 03/08/2004 23:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18/08/2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
AvantGo, Inc. 06/12/2004 13:07:08 69632 C:\WINDOWS\SYSTEM32\mbllnk.cpl
Microsoft Corporation 03/08/2004 23:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18/08/2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 03/08/2004 23:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 03/08/2004 23:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 03/08/2004 23:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 03/08/2004 23:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
RealNetworks, Inc. 25/01/2002 08:21:20 25088 C:\WINDOWS\SYSTEM32\prefscpl.cpl
Apple Computer, Inc. 02/08/2002 23:31:00 297984 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 03/08/2004 23:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18/08/2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 03/08/2004 23:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 03/08/2004 23:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 03/08/2004 13:59:08 168216 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18/08/2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18/08/2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18/08/2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 03/08/2004 13:59:08 168216 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl
19/01/2002 16:56:00 40960 C:\WINDOWS\SYSTEM32\ReinstallBackups\0001\DriverFiles\nvtuicpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
15/04/2005 09:36:10 1004 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
25/01/2002 06:30:44 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
25/01/2002 06:21:46 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
08/06/2004 22:14:56 4056 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
12/06/2004 20:28:44 886 C:\Dokumente und Einstellungen\Vera\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
25/01/2002 06:30:44 HS 84 C:\Dokumente und Einstellungen\Vera\Startmenü\Programme\Autostart\desktop.ini
22/05/2004 00:00:12 1718 C:\Dokumente und Einstellungen\Vera\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %USERPROFILE%\Application Data folder...
30/08/2005 20:30:12 50710 C:\Dokumente und Einstellungen\Vera\Anwendungsdaten\Applist.txt
25/01/2002 06:21:46 HS 62 C:\Dokumente und Einstellungen\Vera\Anwendungsdaten\desktop.ini
05/02/2005 12:19:36 84688 C:\Dokumente und Einstellungen\Vera\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{321CF1F6-A729-4033-91B6-50D51737BC1C}
= C:\Programme\T-Online\T-Online_Software_6\Banking\HbDokMan.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FE54FA40-D68C-11d2-98FA-00C0F0318AFE}
Real.com = C:\WINDOWS\System32\Shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
ButtonText = Real.com :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
NeroCheck C:\WINDOWS\System32\NeroCheck.exe
McAfee Guardian "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGRDIAN.EXE" /SU
LWBMOUSE C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
ISDN SpeedManager "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
HP Component Manager "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
Corel Reminder
SunServer C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
AOLMIcon C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
H/PC Connection Agent "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
Microsoft Works Update Detection C:\Programme\Microsoft Works\WkDetect.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =
{1CDB2949-8F65-4355-8456-263E7C208A5D} = C:\WINDOWS\System32\nvshell.dll


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{1CDB2949-8F65-4355-8456-263E7C208A5D} = C:\WINDOWS\System32\nvshell.dll


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 01/11/2005 10:15:32
Seitenanfang Seitenende
01.11.2005, 13:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 C:\WINDOWS\WININIT.INI--> rechtsklick--> oeffnen mit dem Texteditor--> kopiere den Text hier

C:\Gates-2005-Euro.zip <--loeschen
+
scanne noch einmal mit:
F-secure-Beta Trial
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 18:51
ramnixx
...neu hier

Themenstarter

Beiträge: 6
#12 Hallo Sabina,


da bei dir kein Text für die Datei "wininit.ini" zu kopieren stand habe ich alles in dieser Datei gelöscht.(???)

Das zip-Verzeichnis habe ich gelöscht.

Vielleicht kannst Du mir ja doch noch zwei Fragen beantworten (vor allen dingen die 2.):
1.) Ich habe auf meinem Rechner 2 Administratoren als User. Muss ich für den zweiten user diese Schritte ebenfalls durchführen oder ist das hiermit hinfällig.

2.) Wie kann ich mich vor click.526, qhost.qr, vidro.u usw. demnächst schüzten? Ist meine Firewall und der Virusscanner ok?



Und hier noch der Scan von F-secure-Beta Trial:

11/06/05 18:39:47 [Info]: BlackLight Engine 1.0.23 initialized
11/06/05 18:39:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/06/05 18:39:47 [Note]: 4019 4
11/06/05 18:39:47 [Note]: 4005 0
11/06/05 18:39:59 [Note]: 4006 0
11/06/05 18:39:59 [Note]: 4011 1992
11/06/05 18:40:00 [Note]: FSRAW library version 1.7.1011
11/06/05 18:40:53 [Note]: 4007 0
Seitenanfang Seitenende
06.11.2005, 19:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 loeschen:
C:\WINDOWS\SYSTEM32\certcclie.exe

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1