Status 128 ohne Virusfund

#1 Hallo,


bestimmt ist das beste Thema zum Einstand in Euer Board, aber leider komm ich um Eure Hilfe nicht herum.

Vorab: Die Suchfunktion habe ich ausgiebig genutzt, jedoch haben die angebotenen Lösungen mir auch nicht geholfen.

Hier im Netz (mehrere Win2000 und WinXp Clients an Win200 Server) ist ein Rechner (Win2000) der nur Freitags (!) mit dem bekannten Fehler "Status 128 in services.exe" sich neustartet.

Kein Virenscanner (AntiVir, AVG, Norton, Stinger, SD-Spybot, usw.) hat was gefunden, ebenso wenig die von Euch verlinkten Onlinescanner.

Die service.exe habe ich auch checken lassen und diese ist laut Kapersky clean.

Die im Hijackthis-Log verzeichnete frepdll.exe ist nicht mehr auf dem System zu finden. Leider kann ich den entsprechenden Eintrag, auch im abgesichertem Modus, in der Registry nicht löschen.

Folgend mein Hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 09:17:16, on 17.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Gutrkqwa] C:\WINNT\system32\??rvices.exe
O4 - Global Startup: Brother SmartUI PopUp.lnk = C:\Programme\Scansoft\PaperPort\PopUp\SmartUI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123244784078
O17 - HKLM\System\CCS\Services\Tcpip\..\{18937DC7-262B-41F6-8432-01BD5735ED6B}: NameServer = 192.168.0.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{18937DC7-262B-41F6-8432-01BD5735ED6B}: NameServer = 192.168.0.210
O17 - HKLM\System\CS2\Services\Tcpip\..\{18937DC7-262B-41F6-8432-01BD5735ED6B}: NameServer = 192.168.0.210
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ET dll Locator (frepdll.exe) - Unknown owner - C:\WINNT\frepdll.exe (file missing)


Vielen Dank für Eure Hilfe!

#2 Hallo@databaser

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKCU\..\Run: [Gutrkqwa] C:\WINNT\system32\??rvices.exe

PC neustarten

lade die Datei hoch
C:\WINNT\system32\??rvices.exe
und berichte
http://sandbox.norman.no/live_4.html

kopiere hier die 4 Logs , mit Pfadangabe oberhalb....3 Monate vom Datum her reichen
http://virus-protect.org/datfindbat.html

Zitat

Full Name:
??rvices.exe Trojan
Type: Trojan
Comment: A polymorphing Trojan that uses multiple startup entries.
PurityScan adware variant.

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Vielen Dank für Deine Hilfe.

Folgend die neuen Informationen zu meinem Problem:

Hijackthis:
Die von Dir angegebenen Einträge kann ich nicht löschen, sofort nach dem Neustart sind diese wieder vorhanden.

sandbox.norman.no
Die Datei C:\WINNT\system32\??rvices.exe kann nicht ausgewertet werden. Per Mail habe ich dazu diese Begrüdnung bekommen:

Zitat

Unable to process ZIP file qdbgtinxaphejzkidjpg43579e58ba156.zip
The sandbox only run Windows 32-bit executable code.

We try to decompress most archives and use a list of passwords (norman,infected,virus etc). If you
are certain you submitted something containing binary code (Windows executables) try to repack the
file with one of the passwords given and resend it.

Auf die Auswertung meiner services.exe warte ich noch immer...

Die Datei ??rvices.exe kann ich auf biegen und brechen nicht löschen. Auch Tipps aus anderen Foren haben bis jetzt nicht geholfen.
Tools wie GiPo@Utilities bringen auch nichts.
Der Security Task Manager kann den Task zwar beenden, aber nicht löschen bzw. unter Quarantäne stellen. Ausserdem scheint es mir so, als ob der Task nach beenden sich nach kurzer Zeit neustartet.

datfind.bat

Zitat

Verzeichnis von C:\WINNT\system32

20.10.2005 16:17 2.550 UNINST~1.ICO Uninstall.ico
20.10.2005 16:17 1.406 Help.ico
20.10.2005 16:17 1.718 Open.ico
20.10.2005 16:17 1.406 AddQuit.ico
20.10.2005 16:17 5.350 IE.ico
20.10.2005 16:17 9.470 Desktop.ico
20.10.2005 16:17 1.718 Quick.ico
17.10.2005 11:02 0 asfiles.txt
14.10.2005 13:24 499.712 msvcp71.dll
14.10.2005 13:24 348.160 msvcr71.dll
14.10.2005 13:23 16.384 PERFLI~1.DAT Perflib_Perfdata_520.dat
18.08.2005 13:29 53.352 jpicpl32.cpl
18.08.2005 13:29 28.768 javaw.exe
18.08.2005 13:29 24.670 java.exe

Zitat

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

20.10.2005 16:33 16.384 ~DF75BA.tmp
20.10.2005 16:33 16.384 ~DF54B7.tmp
20.10.2005 16:02 16.384 ~DF56EA.tmp
20.10.2005 15:52 16.384 ~DF7218.tmp
20.10.2005 15:42 16.384 ~DF4780.tmp
20.10.2005 15:32 16.384 ~DF55DA.tmp
20.10.2005 15:24 16.384 ~DF5035.tmp
20.10.2005 15:19 16.384 ~DF5D8D.tmp
20.10.2005 15:04 16.384 ~DF5667.tmp
20.10.2005 14:41 16.384 ~DF4F7B.tmp
20.10.2005 14:28 16.384 ~DF48DE.tmp
20.10.2005 10:54 16.384 ~DF567E.tmp
20.10.2005 10:01 16.384 ~DF4FCC.tmp
20.10.2005 08:58 512 ~DFF0E5.tmp
20.10.2005 08:58 512 ~DFEC85.tmp
20.10.2005 08:58 512 ~DFEB68.tmp
20.10.2005 08:58 360.448 ~WRF0516.tmp
20.10.2005 08:58 512 ~DFE8D5.tmp
20.10.2005 08:58 512 ~DFE77D.tmp
20.10.2005 08:14 0 JET24.tmp
20.10.2005 08:14 0 JETA00.tmp
20.10.2005 08:14 16.384 ~DF57CE.tmp
20.10.2005 08:02 0 JET22.tmp
20.10.2005 08:02 0 JETDC2D.tmp
20.10.2005 08:01 16.384 ~DF508E.tmp
19.10.2005 16:14 16.384 ~DF5671.tmp
19.10.2005 15:31 16.384 ~DF54E1.tmp
19.10.2005 13:16 0 JET21.tmp
19.10.2005 13:16 0 JETAC59.tmp
19.10.2005 13:14 16.384 ~DF73F3.tmp
19.10.2005 12:34 0 JET1F.tmp
19.10.2005 12:34 0 JETAE3.tmp
19.10.2005 12:33 16.384 ~DF4995.tmp
19.10.2005 09:32 0 JET1E.tmp
19.10.2005 09:32 0 JETE830.tmp
19.10.2005 09:29 16.384 ~DF5335.tmp
19.10.2005 08:03 0 JET1D.tmp
19.10.2005 08:03 0 JET9E06.tmp
19.10.2005 08:02 16.384 ~DF73FF.tmp
18.10.2005 17:32 16.384 ~DF47F2.tmp
18.10.2005 17:25 512 ~DFCE71.tmp
18.10.2005 17:25 512 ~DFC9EA.tmp
18.10.2005 17:25 512 ~DFC78E.tmp
18.10.2005 17:25 512 ~DFC671.tmp
18.10.2005 17:25 360.448 ~WRF0005.tmp
18.10.2005 17:25 512 ~DFC597.tmp
18.10.2005 17:25 512 ~DFC3F9.tmp
18.10.2005 17:25 29.184 ~WRC0000.tmp
18.10.2005 17:22 0 CTT278.tmp
18.10.2005 17:22 0 CTT274.tmp
18.10.2005 17:21 0 CTT53.tmp
18.10.2005 17:21 512 ~DFB5AA.tmp
18.10.2005 17:21 16.384 ~DFB5A2.tmp
18.10.2005 17:21 0 JET50.tmp
18.10.2005 17:21 0 JETABD5.tmp
18.10.2005 17:21 0 JET4F.tmp
18.10.2005 17:21 0 JETAB58.tmp
18.10.2005 17:21 0 JET2A.tmp
18.10.2005 17:21 0 JETA6C4.tmp
18.10.2005 17:21 0 JET1B.tmp
18.10.2005 17:21 0 JETA54D.tmp
18.10.2005 16:34 0 JET19.tmp
18.10.2005 16:34 0 JETB7FB.tmp
18.10.2005 16:33 16.384 ~DF47C9.tmp
18.10.2005 10:20 0 JET18.tmp
18.10.2005 10:20 0 JET4893.tmp
18.10.2005 10:18 16.384 ~DF4EC0.tmp
18.10.2005 08:03 16.384 ~DF7416.tmp
17.10.2005 17:46 16.384 ~DF55F2.tmp
17.10.2005 17:40 16.384 ~DF4E1D.tmp
17.10.2005 17:28 16.384 ~DF5401.tmp
17.10.2005 15:57 0 CTT26A.tmp
17.10.2005 15:57 0 CTT269.tmp
17.10.2005 15:57 0 JET267.tmp
17.10.2005 15:57 0 JET7CCC.tmp
17.10.2005 15:12 16.384 ~DF6624.tmp
17.10.2005 15:12 512 ~DF662C.tmp
17.10.2005 15:12 0 JET4C.tmp
17.10.2005 15:12 0 JETDB10.tmp
17.10.2005 15:12 0 CTT32.tmp
17.10.2005 15:12 0 JET28.tmp
17.10.2005 15:12 0 JETD757.tmp
17.10.2005 15:12 0 JET1A.tmp
17.10.2005 15:12 0 JETD64D.tmp
17.10.2005 14:44 0 JET17.tmp
17.10.2005 14:44 0 JET61C3.tmp
17.10.2005 14:40 16.384 ~DF84EC.tmp
17.10.2005 12:19 0 CTT320.tmp
17.10.2005 12:19 0 CTT31C.tmp
17.10.2005 12:15 0 CTT315.tmp
17.10.2005 12:15 16.384 ~DF9D5E.tmp
17.10.2005 12:15 512 ~DF9D66.tmp
17.10.2005 12:15 0 JET313.tmp
17.10.2005 12:15 0 JETAC1F.tmp
17.10.2005 12:15 0 JET312.tmp
17.10.2005 12:15 0 JETABD1.tmp
17.10.2005 12:15 0 JET2F7.tmp
17.10.2005 12:15 0 JETA857.tmp
17.10.2005 12:15 0 JET2EB.tmp
17.10.2005 12:15 0 JETA5C6.tmp
17.10.2005 10:12 0 JET15.tmp
17.10.2005 10:12 0 JETDCF9.tmp
17.10.2005 09:56 16.384 ~DF5A48.tmp
17.10.2005 09:54 8.192 FNC3F0~1.GPD fnc3f0affc.gpd
17.10.2005 09:20 16.384 ~DF4BC6.tmp
17.10.2005 08:53 16.384 ~DF460F.tmp
17.10.2005 08:07 0 JET13.tmp
17.10.2005 08:07 0 JET67EE.tmp
17.10.2005 08:05 16.384 ~DF7913.tmp
14.10.2005 14:38 16.384 ~DF6316.tmp
14.10.2005 13:29 16.384 ~DF4BDE.tmp
14.10.2005 13:24 138.728 avg7inst.log
14.10.2005 13:23 556 SYMSCL~1.DAT SymSCLiveUpdate.dat
14.10.2005 13:23 35.220 symcprop.dat
14.10.2005 13:22 16.384 ~DF57A9.tmp
14.10.2005 13:21 2.957 LSINST~1.LOG LSInstall.log
14.10.2005 13:20 410 SYMDEL.bat
14.10.2005 13:20 1.998.948 NORTON~2.LOG Norton AntiVirus 2004 10-14-2005 13h17m51s.log
14.10.2005 13:17 10.134 dat7.tmp
14.10.2005 13:15 16.384 ~DFB031.tmp
14.10.2005 11:38 16.384 ~DFEFA1.tmp
14.10.2005 10:47 0 CTT272.tmp
14.10.2005 10:47 0 CTT271.tmp
14.10.2005 10:47 0 JET26F.tmp
14.10.2005 10:47 0 JET87DF.tmp
14.10.2005 09:19 16.384 ~DF6C83.tmp
14.10.2005 09:19 512 ~DF6C8C.tmp
14.10.2005 09:19 0 JET46.tmp
14.10.2005 09:19 0 JETD250.tmp
14.10.2005 09:19 0 CTT2E.tmp
14.10.2005 09:19 0 JET25.tmp
14.10.2005 09:19 0 JETCB2B.tmp
14.10.2005 09:19 0 JET14.tmp
14.10.2005 09:19 0 JETC81E.tmp
14.10.2005 08:17 0 JET12.tmp
14.10.2005 08:17 0 JET8DD9.tmp
14.10.2005 08:15 16.384 ~DF7DA.tmp
14.10.2005 08:03 0 JETC.tmp
14.10.2005 08:03 0 JET6EB9.tmp
14.10.2005 08:02 16.384 ~DF11E2.tmp
13.10.2005 07:59 16.384 ~DF20D.tmp
12.10.2005 07:57 16.384 ~DFBB8.tmp
11.10.2005 08:01 16.384 ~DFF71D.tmp
10.10.2005 07:59 16.384 ~DF114A.tmp
07.10.2005 12:15 16.384 ~DFC602.tmp
07.10.2005 11:02 16.384 ~DF2642.tmp
07.10.2005 10:04 0 CTT257.tmp
07.10.2005 10:04 0 CTT253.tmp
07.10.2005 10:00 0 CTT44.tmp
07.10.2005 10:00 16.384 ~DF6F4B.tmp
07.10.2005 10:00 512 ~DF6F54.tmp
07.10.2005 10:00 0 JET42.tmp
07.10.2005 10:00 0 JET6982.tmp
07.10.2005 10:00 0 JET41.tmp
07.10.2005 10:00 0 JET68C7.tmp
07.10.2005 10:00 0 JET20.tmp
07.10.2005 10:00 0 JET61B2.tmp
07.10.2005 10:00 0 JET11.tmp
07.10.2005 10:00 0 JET5DF9.tmp
07.10.2005 09:01 0 JETE.tmp
07.10.2005 09:01 0 JET4D3.tmp
07.10.2005 08:59 16.384 ~DF8DC.tmp
07.10.2005 08:22 0 CTT255.tmp
07.10.2005 08:22 0 CTT251.tmp
07.10.2005 08:21 0 CTT3F.tmp
07.10.2005 08:21 16.384 ~DFCC9F.tmp
07.10.2005 08:21 512 ~DFCCA8.tmp
07.10.2005 08:21 0 JET3B.tmp
07.10.2005 08:21 0 JETB989.tmp
07.10.2005 08:21 0 JET3A.tmp
07.10.2005 08:21 0 JETB7C4.tmp
07.10.2005 08:21 0 JET1C.tmp
07.10.2005 08:21 0 JETAEBB.tmp
07.10.2005 08:21 0 JETD.tmp
07.10.2005 08:21 0 JETACB8.tmp
07.10.2005 07:41 0 JETB.tmp
07.10.2005 07:41 0 JET20C3.tmp
07.10.2005 07:40 16.384 ~DF10FD.tmp
06.10.2005 08:01 16.384 ~DF1153.tmp
05.10.2005 17:22 360.448 ~WRF3214.tmp
05.10.2005 07:41 16.384 ~DF1466.tmp
04.10.2005 08:02 16.384 ~DF227.tmp
30.09.2005 08:07 16.384 ~DF2E1A.tmp
29.09.2005 08:07 16.384 ~DF2830.tmp
28.09.2005 08:06 16.384 ~DF290F.tmp
27.09.2005 07:57 16.384 ~DFF53F.tmp
26.09.2005 08:19 16.384 ~DFE76.tmp
26.09.2005 08:10 16.384 ~DFF733.tmp
26.09.2005 08:05 16.384 ~DFF225.tmp
23.09.2005 08:03 16.384 ~DF3BC.tmp
22.09.2005 08:05 16.384 ~DFFAA9.tmp
21.09.2005 13:59 16.384 ~DFF7B3.tmp
21.09.2005 11:14 45.096 _VWUPSRV.EXE
21.09.2005 08:01 16.384 ~DF28BC.tmp
20.09.2005 08:02 16.384 ~DFF515.tmp
19.09.2005 13:35 16.384 ~DFCA5C.tmp
19.09.2005 08:06 16.384 ~DFF8A5.tmp
16.09.2005 08:04 16.384 ~DF1407.tmp
15.09.2005 11:54 16.384 ~DF349.tmp
15.09.2005 11:49 512 ~DF95C6.tmp
15.09.2005 11:49 512 ~DF8323.tmp
15.09.2005 11:49 145 ~WRM4026
15.09.2005 11:49 512 ~DF7428.tmp
15.09.2005 11:49 360.448 ~WRF3753.tmp
15.09.2005 11:49 512 ~DF667C.tmp
15.09.2005 11:49 512 ~DF6471.tmp
15.09.2005 11:49 512 ~DF5705.tmp
15.09.2005 09:52 0 CTT37.tmp
15.09.2005 09:52 0 CTT36.tmp
15.09.2005 09:52 512 ~DF8F16.tmp
15.09.2005 09:52 16.384 ~DF8F0D.tmp
15.09.2005 09:52 0 JET35.tmp
15.09.2005 09:52 0 JET1224.tmp
15.09.2005 09:52 0 JET34.tmp
15.09.2005 09:52 0 JET1040.tmp
15.09.2005 09:52 0 CTT22.tmp
15.09.2005 09:52 0 JET16.tmp
15.09.2005 09:52 0 JET7C4.tmp
15.09.2005 09:52 0 JET8.tmp
15.09.2005 09:52 0 JET5DF.tmp
15.09.2005 09:36 0 JET4.tmp
15.09.2005 09:36 0 JETB6F8.tmp
15.09.2005 08:20 16.384 ~DF710.tmp
15.09.2005 08:14 16.384 ~DFA7C.tmp
15.09.2005 08:06 16.384 ~DFFD7E.tmp
14.09.2005 08:06 16.384 ~DFF7B1.tmp
13.09.2005 08:04 16.384 ~DFFF58.tmp
12.09.2005 08:01 16.384 ~DFD017.tmp
09.09.2005 08:08 16.384 ~DF13A0.tmp
08.09.2005 12:31 16.384 ~DFF8FC.tmp
08.09.2005 08:08 16.384 ~DF2726.tmp
07.09.2005 08:08 16.384 ~DF2A08.tmp
06.09.2005 08:07 16.384 ~DFFBB4.tmp
05.09.2005 08:03 16.384 ~DFFDB5.tmp
02.09.2005 08:05 16.384 ~DF2FE3.tmp
01.09.2005 16:37 16.384 ~DFBBF5.tmp
01.09.2005 08:07 16.384 ~DF268A.tmp
31.08.2005 07:59 16.384 ~DFFEB8.tmp
30.08.2005 08:07 16.384 ~DF5B3.tmp
29.08.2005 18:24 16.384 ~DFF37D.tmp
29.08.2005 08:03 16.384 ~DFF48.tmp
26.08.2005 08:05 16.384 ~DF257B.tmp
25.08.2005 08:08 16.384 ~DF276.tmp
24.08.2005 08:03 16.384 ~DF29FF.tmp
23.08.2005 08:01 16.384 ~DF11F5.tmp
22.08.2005 10:25 16.384 ~DFB3EF.tmp
22.08.2005 08:03 16.384 ~DF58D.tmp
19.08.2005 07:55 16.384 ~DFF4DA.tmp
18.08.2005 15:31 16.384 ~DF477.tmp
18.08.2005 14:31 0 JET7.tmp
18.08.2005 14:31 0 JETB910.tmp
18.08.2005 14:29 16.384 ~DFF2F5.tmp

Zitat

Verzeichnis von C:\WINNT

20.10.2005 16:33 54.156 QTFont.qfn
20.10.2005 16:33 408.144 WINDOW~2.LOG WindowsUpdate.log
20.10.2005 16:32 32.408 SchedLgU.Txt
20.10.2005 16:31 464.776 SHELLI~1 ShellIconCache
20.10.2005 16:17 32 pavsig.txt
20.10.2005 15:39 89.888 ntbtlog.txt
17.10.2005 11:02 370 win.ini
17.10.2005 11:00 362.132 setupapi.log
14.10.2005 13:24 1.409 QTFont.for
10.10.2005 18:10 278 BRPCFAX.LOG
18.08.2005 15:49 3.155 F-Lovsan.log
18.08.2005 15:48 159.651 iis5.log
18.08.2005 15:48 85.853 comsetup.log
18.08.2005 15:48 1.429 imsins.log
18.08.2005 15:48 2.182 KB823980.log
18.08.2005 15:47 51.849 ocgen.log
18.08.2005 15:47 3.967 ockodak.log
05.08.2005 15:49 1.410 imsins.BAK
05.08.2005 15:49 59.296 KB896358.log
05.08.2005 15:49 30.621 updspapi.log
05.08.2005 15:49 76.017 UPDATE~1.LOG UpdateRollupPack.log
05.08.2005 15:48 2.457 UPDCUS~1.LOG updcustom.dll.log
05.08.2005 15:47 19.391 KB901214.log
05.08.2005 15:47 10.756 KB8977~1.LOG KB897715-OE6SP1-20050503.210336.log
05.08.2005 15:47 19.548 KB890046.log
05.08.2005 15:47 18.137 KB896422.log
05.08.2005 15:47 10.191 KB8839~1.LOG KB883939-IE6SP1-20050428.125228.log
05.08.2005 15:46 14.886 KB894320.log
05.08.2005 15:46 15.632 dahotfix.log
05.08.2005 15:46 3.858 KB8396~1.LOG KB839643-DirectX81.log
05.08.2005 15:46 2.091 vminst.log
05.08.2005 15:45 3.621 Q828026.log
05.08.2005 15:45 3.614 KB329115.log
05.08.2005 15:27 1.514 OEWABLog.txt
05.08.2005 15:25 21.073 ACTIVE~1.TXT Active Setup Log.txt
05.08.2005 14:41 6.161 KB8938~1.LOG KB893803v2.log
05.08.2005 14:41 5.517 KB842773.log
05.08.2005 14:41 112.617 setupact.log
04.08.2005 19:20 127 t.bat

Zitat

Verzeichnis von C:\

20.10.2005 16:45 0 sys.txt
20.10.2005 16:44 11.104 system.txt
20.10.2005 16:43 49.373 SYSTEM~1.TXT systemtemp.txt
20.10.2005 16:42 125.224 system32.txt
20.10.2005 16:32 390.070.272 pagefile.sys
20.10.2005 16:17 1.384 uniface.txt
19.10.2005 12:44 597.722 error.log
14.10.2005 13:40 3.171.666 AVG7DB_F.DAT
14.10.2005 13:25 5.433.393 AVG7QT.DAT
12.05.2005 15:59 86 net_send.bat
15.09.2004 15:46 247 mess.txt
16.07.2004 13:07 21.698 hpfr5600.log

Wäre wirklich traumhaft, wenn Ihr eine Lösung wüßtet!

Vielen Dank.

#4 Hallo@databaser

Loesche alle temporaeren Dateien mit CCleaner
http://virus-protect.org/temp.html

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp muss leer sein

dann poste die 4 logs noch einmal ...aber bitte vom Datum her bis Anfang August....
heute Abend sage ich dir, was raus muss, jetzt habe ich keine Zeit mehr, muss arbeiten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hey Sabrina,


das ging ja mal wieder schnell!

Ich hab wie beschrieben alles mit dem CCleaner bereinigt.
Folgend die logs jeweils ab Anfang August:

Zitat

Verzeichnis von C:\WINNT\system32

20.10.2005 16:17 2.550 UNINST~1.ICO Uninstall.ico
20.10.2005 16:17 1.406 Help.ico
20.10.2005 16:17 1.718 Open.ico
20.10.2005 16:17 1.406 AddQuit.ico
20.10.2005 16:17 5.350 IE.ico
20.10.2005 16:17 9.470 Desktop.ico
20.10.2005 16:17 1.718 Quick.ico
17.10.2005 11:02 0 asfiles.txt
14.10.2005 13:24 499.712 msvcp71.dll
14.10.2005 13:24 348.160 msvcr71.dll
14.10.2005 13:23 16.384 PERFLI~1.DAT Perflib_Perfdata_520.dat
18.08.2005 13:29 53.352 jpicpl32.cpl
18.08.2005 13:29 28.768 javaw.exe
18.08.2005 13:29 24.670 java.exe
05.08.2005 15:51 206.176 FNTCACHE.DAT
05.08.2005 15:24 16.832 amcompat.tlb
05.08.2005 15:24 23.392 nscompat.tlb

Zitat

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

20.10.2005 17:55 0 CTT62.tmp
20.10.2005 17:55 0 CTT60.tmp
20.10.2005 17:55 512 ~DF1485.tmp
20.10.2005 17:55 16.384 ~DF147D.tmp
20.10.2005 17:55 0 JET5B.tmp
20.10.2005 17:55 0 JETED30.tmp
20.10.2005 17:55 0 JET5A.tmp
20.10.2005 17:55 0 JETEC84.tmp
20.10.2005 17:55 0 CTT48.tmp
20.10.2005 17:55 0 JET3C.tmp
20.10.2005 17:55 0 JETE8DA.tmp
20.10.2005 17:55 0 JET29.tmp
20.10.2005 17:55 0 JETE5DD.tmp
20.10.2005 17:53 0 JET26.tmp
20.10.2005 17:53 0 JETF1DD.tmp
20.10.2005 17:52 16.384 ~DF4DF7.tmp

Zitat

Verzeichnis von C:\WINNT

20.10.2005 17:52 54.156 QTFont.qfn
20.10.2005 17:51 409.971 WINDOW~2.LOG WindowsUpdate.log
20.10.2005 16:53 32.408 SchedLgU.Txt
20.10.2005 16:53 465.382 SHELLI~1 ShellIconCache
20.10.2005 16:17 32 pavsig.txt
17.10.2005 11:02 370 win.ini
14.10.2005 13:24 1.409 QTFont.for
04.08.2005 19:20 127 t.bat
09.07.2005 12:30 3.165 symantec.css
09.07.2005 12:17 1.523 START_~2.GIF start_virus_over.gif
09.07.2005 12:00 173 NAV_HE~1.GIF nav_help-over.gif
09.07.2005 11:59 247 NAV_SO~1.GIF nav_solutions-over.gif
09.07.2005 11:59 248 NAV_AL~1.GIF nav_alert-over.gif
09.07.2005 11:57 253 NAV_IN~1.GIF nav_info-over.gif

Zitat

20.10.2005 18:06 0 sys.txt
20.10.2005 18:05 8.082 system.txt
20.10.2005 18:05 1.323 SYSTEM~1.TXT systemtemp.txt
20.10.2005 18:05 125.224 system32.txt
20.10.2005 17:55 11.146 uniface.txt
20.10.2005 17:51 390.070.272 pagefile.sys
19.10.2005 12:44 597.722 error.log
14.10.2005 13:40 3.171.666 AVG7DB_F.DAT
14.10.2005 13:25 5.433.393 AVG7QT.DAT
12.05.2005 15:59 86 net_send.bat
15.09.2004 15:46 247 mess.txt

Danke!


Gruss...

#6 inzwischen scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Der Scan auf kritische Bereiche mit Kaspersky verlief ohne Virusfund!

Den ganzen Computer scanne ich im Moment noch, da dies sehr lange dauert kommen die Ergebnisse erst später.

Mittlerweile scheint es so, als habe der Virus sich auf die anderen Win2000 Rechner im Netz ausgebreitet. Sie zeigen das gleiche Anzeichen.

Eine schnelle Lösung wäre wunderbar.


Danke...

#8 PurityScan ist sehr schwer zu loeschen...es ist eine Pest...wir schauen mal,,,,ich werde Erkennungstools posten, um den Loader zu finden....

Zitat

findest du auf dem System: ???
qdbgtinxaphejzkidjpg43579e58ba156.zip

oeffne mit dem Editor:
C:\WINNT\t.bat
und poste den Inhalt.

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "ET dll Locator (frepdll.exe)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"ET dll Locator (frepdll.exe) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "ET dll Locator (frepdll.exe) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

023 -Eintraege löschen:
Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!
O23 - Service: ET dll Locator (frepdll.exe) - Unknown owner - C:\WINNT\frepdll.exe (file missing)

PC neustarten

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Meldung (von Symantec) --- ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

ET dll Locator

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

- nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
----------------------------------------------------

Winpfind (bitte abarbeiten und alles posten)
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabrina,


mit Hijackthis habe ich keinen Eintrag gelöscht, da ein solcher nicht vorhanden war.

Den Dienst habe ich deaktiviert. Er wurde aber nicht ausgeführt, dass heißt, ich musste bzw. konnte ich nicht beenden.

Hier das log von RegSrch:

Zitat

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "ET dll Locator" 21.10.2005 11:31:59

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FREPDLL.EXE\0000]
"DeviceDesc"="ET dll Locator"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\frepdll.exe]
"DisplayName"="ET dll Locator"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\frepdll.exe]
"Description"="ET dll Locator tool"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FREPDLL.EXE\0000]
"DeviceDesc"="ET dll Locator"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\frepdll.exe]
"DisplayName"="ET dll Locator"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\frepdll.exe]
"Description"="ET dll Locator tool"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FREPDLL.EXE\0000]
"DeviceDesc"="ET dll Locator"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\frepdll.exe]
"DisplayName"="ET dll Locator"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\frepdll.exe]
"Description"="ET dll Locator tool"

BTW:
Der Link zu dem Programm sollte so lauten, oder?
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Unter Deinem Link gibt's ein anderes Tool.
Oder brauche ich das auch?


Danke für die schnelle und kompetente Hilfe!


Gruss

#10 Winpfind (bitte abarbeiten und alles posten)
http://virus-protect.org/winpfind.html

auch abarbeiten...klar
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FREPDLL.EXE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\frepdll.exe]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FREPDLL.EXE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\frepdll.exe]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FREPDLL.EXE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\frepdll.exe]

dann scanne noch einmal mit RegSrch.vbs (ET dll Locator ) und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Das geht ja wirklich rasend schnell.


Es scheint so, dass Winpfind nach einem bestimmten Punkt mit der Meldung "invalid flagtype..." ab.

Das log bis zu diesem Punkt:

Zitat

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows 2000 Current Build: Service Pack 4 Current Build Number: 2195
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PTech 12.07.2005 18:04:22 520456 C:\WINNT\SYSTEM32\LegitCheckControl.dll
PECompact2 06.07.2005 19:26:32 1375064 C:\WINNT\SYSTEM32\MRT.exe
aspack 06.07.2005 19:26:32 1375064 C:\WINNT\SYSTEM32\MRT.exe
Umonitor 03.06.2005 00:44:46 551696 C:\WINNT\SYSTEM32\RASDLG.DLL
winsync 08.05.2001 14:00:00 1309184 C:\WINNT\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
UPX! 14.10.2005 13:24:24 726016 C:\WINNT\SYSTEM32\drivers\avg7core.sys
FSG! 14.10.2005 13:24:24 726016 C:\WINNT\SYSTEM32\drivers\avg7core.sys
PEC2 14.10.2005 13:24:24 726016 C:\WINNT\SYSTEM32\drivers\avg7core.sys
aspack 14.10.2005 13:24:24 726016 C:\WINNT\SYSTEM32\drivers\avg7core.sys

Items found in C:\WINNT\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
21.10.2005 11:46:30 H 54156 C:\WINNT\QTFont.qfn
21.10.2005 09:25:00 H 465566 C:\WINNT\ShellIconCache
21.10.2005 11:46:06 S 64 C:\WINNT\CSC\00000001
21.10.2005 08:11:54 S 64 C:\WINNT\CSC\00000002
20.10.2005 15:52:08 S 64 C:\WINNT\CSC\csc1.tmp
20.10.2005 15:15:42 H 10820 C:\WINNT\Help\update.GID
21.10.2005 11:46:54 H 1024 C:\WINNT\system32\config\default.LOG
21.10.2005 11:46:08 H 1024 C:\WINNT\system32\config\SAM.LOG
21.10.2005 11:46:56 H 1024 C:\WINNT\system32\config\SECURITY.LOG
21.10.2005 11:53:16 H 1024 C:\WINNT\system32\config\software.LOG
21.10.2005 11:45:58 H 6 C:\WINNT\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 08.05.2001 14:00:00 68880 C:\WINNT\SYSTEM32\access.cpl
Microsoft Corporation 19.06.2003 12:05:04 304912 C:\WINNT\SYSTEM32\appwiz.cpl
Brother Industries,Ltd. 06.05.2003 16:26:12 13312 C:\WINNT\SYSTEM32\BrnStiCp.cpl
Microsoft Corporation 19.06.2003 12:05:04 242448 C:\WINNT\SYSTEM32\DESK.CPL
Microsoft Corporation 08.05.2001 14:00:00 130832 C:\WINNT\SYSTEM32\hdwwiz.cpl
Intel Corporation 06.04.2003 18:14:30 94208 C:\WINNT\SYSTEM32\igfxcpl.cpl
Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\inetcpl.cpl
Microsoft Corporation 08.05.2001 14:00:00 121616 C:\WINNT\SYSTEM32\intl.cpl
Microsoft Corporation 08.05.2001 14:00:00 36624 C:\WINNT\SYSTEM32\irprops.cpl
Microsoft Corporation 30.10.2001 08:10:00 326144 C:\WINNT\SYSTEM32\joy.cpl
Sun Microsystems 18.08.2005 13:29:14 53352 C:\WINNT\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 08.05.2001 14:00:00 122640 C:\WINNT\SYSTEM32\main.cpl
Microsoft Corporation 08.05.2001 14:00:00 307472 C:\WINNT\SYSTEM32\mmsys.cpl
Microsoft Corporation 08.05.2001 14:00:00 17168 C:\WINNT\SYSTEM32\ncpa.cpl
Microsoft Corporation 08.05.2001 14:00:00 42256 C:\WINNT\SYSTEM32\nwc.cpl
Microsoft Corporation 19.06.2003 12:05:04 41232 C:\WINNT\SYSTEM32\odbccp32.cpl
Microsoft Corporation 19.06.2003 12:05:04 92432 C:\WINNT\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 16.04.2004 16:00:22 324608 C:\WINNT\SYSTEM32\QuickTime.cpl
Microsoft Corporation 19.06.2003 12:05:04 83728 C:\WINNT\SYSTEM32\sticpl.cpl
Microsoft Corporation 19.06.2003 12:05:04 129296 C:\WINNT\SYSTEM32\SYSDM.CPL
Microsoft Corporation 08.05.2001 14:00:00 5904 C:\WINNT\SYSTEM32\telephon.cpl
Microsoft Corporation 08.05.2001 14:00:00 61200 C:\WINNT\SYSTEM32\timedate.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINNT\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 29.08.2002 09:32:28 293376 C:\WINNT\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 03.06.2005 00:44:58 66832 C:\WINNT\SYSTEM32\dllcache\msmq.cpl
IBM Corporation 07.10.1999 01:12:54 94720 C:\WINNT\SYSTEM32\dllcache\mwcpa32.cpl
Microsoft Corporation 08.05.2001 14:00:00 42256 C:\WINNT\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINNT\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
17.06.2004 10:24:50 662 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Brother SmartUI PopUp.lnk
14.06.2004 18:11:52 1556 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
15.06.2004 16:22:40 508 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PAListen.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\FileUtilities_MainContextMenu Class
{BB773C31-BB7F-491D-8266-E85B2068FA96} = C:\Programme\GiPo@Utilities\GiPo@FileUtilities\fush.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\shell32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\FileUtilities_MainContextMenu Class
{BB773C31-BB7F-491D-8266-E85B2068FA96} = C:\Programme\GiPo@Utilities\GiPo@FileUtilities\fush.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\FileUtilities_MainContextMenu Class
{BB773C31-BB7F-491D-8266-E85B2068FA96} = C:\Programme\GiPo@Utilities\GiPo@FileUtilities\fush.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\shell32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= C:\WINNT\System32\docprop2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7f9609be-af9a-11d1-83e0-00c04fb6e984}
= %SystemRoot%\system32\faxshell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{884EA37B-37C0-11d2-BE3F-00A0C9A83DA1}
= C:\WINNT\System32\docprop2.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\Programme\Spybot - Search & Destroy\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINNT\system32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\WINNT\system32\msjava.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File and Folders Search ActiveX Control = C:\WINNT\system32\shell32.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\browseui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Synchronization Manager mobsync.exe /logon
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
IgfxTray C:\WINNT\System32\igfxtray.exe
HotKeysCmds C:\WINNT\System32\hkcmd.exe
PaperPort PTD C:\Programme\Scansoft\PaperPort\pptd40nt.exe
IndexSearch C:\Programme\Scansoft\PaperPort\IndexSearch.exe
HPDJ Taskbar Utility C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
HP Component Manager "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
HP Software Update "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
DeviceDiscovery C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
AVG7_EMC C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

#13 Silentrunners
http://virus-protect.org/silentrunner.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor -- und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Ich bin tief beeindruckt!

Was es so alles für Programme gibt....

Zitat

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"mount.exe" = "C:\Programme\GiPo@Utilities\GiPo@FileUtilities\mount.exe /z" ["Gibin Software House (http://www.gibinsoft.net)"]
"Gutrkqwa" = "C:\WINNT\system32\??rvices.exe" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled {++}
"Gutrkqwa" = "C:\WINNT\system32\??rvices.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"IgfxTray" = "C:\WINNT\System32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINNT\System32\hkcmd.exe" ["Intel Corporation"]
"PaperPort PTD" = "C:\Programme\Scansoft\PaperPort\pptd40nt.exe" ["ScanSoft, Inc."]
"IndexSearch" = "C:\Programme\Scansoft\PaperPort\IndexSearch.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe" ["HP"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"HP Software Update" = ""C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"" ["Hewlett-Packard"]
"DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"AVG7_EMC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}
"Flag" = 32

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
FileUtilities_MainContextMenu Class\(Default) = "{BB773C31-BB7F-491D-8266-E85B2068FA96}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\GiPo@Utilities\GiPo@FileUtilities\fush.dll" ["Gibin Software House (http://www.gibinsoft.net)"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
FileUtilities_MainContextMenu Class\(Default) = "{BB773C31-BB7F-491D-8266-E85B2068FA96}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\GiPo@Utilities\GiPo@FileUtilities\fush.dll" ["Gibin Software House (http://www.gibinsoft.net)"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
FileUtilities_MainContextMenu Class\(Default) = "{BB773C31-BB7F-491D-8266-E85B2068FA96}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\GiPo@Utilities\GiPo@FileUtilities\fush.dll" ["Gibin Software House (http://www.gibinsoft.net)"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Brother SmartUI PopUp" -> shortcut to: "C:\Programme\Scansoft\PaperPort\PopUp\SmartUI.exe" ["Visioneer"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"PAListen" -> shortcut to: "C:\eAmed\DaSi\PAListen.exe" ["CompuGROUP Holding AG"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\msjava.dll" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
ARCHIV\Driver = "easysprm.dll" [file not found]
Canon BJ Language Monitor i350\Driver = "CNMLM53.DLL" ["CANON INC."]
hpzlnt09\Driver = "hpzlnt09.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 38 seconds, including 18 seconds for message boxes)

#15 gehe in die Registry

Start-->ausfuehren--> regedit

suchen-->bearbeiten-->Gutrkqwa

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Gutrkqwa"<--loeschen

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled
"Gutrkqwa" <--loeschen

PC neustarten


dann erledige noch , den Dienst, der vom Virus erstellt wurde zu loeschen, d.h. fuehre alles aus und arbeite dann noch einmal mit dem Reg-Tool, um zu ueberpruefen, ob alles geloescht ist.

Zitat

dann scanne noch einmal mit RegSrch.vbs (ET dll Locator ) und berichte

------------------------------------------------------------------------

findest du auf dem System: ???
qdbgtinxaphejzkidjpg43579e58ba156.zip

oeffne mit dem Editor:
C:\WINNT\t.bat
und poste den Inhalt.

-------------------------------------------------------------------------
scanne mit dem Tool (zwei scanner scannen alles durch, bei einem musst du die zu loeschende Datei eingeben, in diesem Fall gib ein:

C:\WINNT\frepdll.exe
C:\WINNT\system32\??rvices.exe
http://virus-protect.org/multiavtool.html

dann poste mir die Scanreporte von den zwei Logs und berichte auch, ob die zwei exe gefunden/geloescht wurden

-------------

dann kommt noch mehr, aber wir arbeiten erst mal das ab, sonst gibt es ein Durcheinander
__________
MfG Sabina

rund um die PC-Sicherheit