W32/Nsag.B - Virus. Was kann ich dagegen tun???Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.11.2005, 18:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.11.2005, 11:28
Member
Beiträge: 13 |
#47
Hy @ Sabina
So hier mal HJT-LOG: Logfile of HijackThis v1.99.1 Scan saved at 11:12:05, on 06/11/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Programme\F-Secure Internet Security\Common\FCH32.EXE C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE C:\Programme\F-Secure Internet Security\FSPC\fspc.exe C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\LTSMMSG.exe C:\Programme\Acer\Launch Manager\LaunchAp.exe C:\Programme\Acer\Launch Manager\PowerKey.exe C:\Programme\Acer\Launch Manager\HotkeyApp.exe C:\Programme\Acer\Launch Manager\KeyHook.exe C:\Programme\Acer\Launch Manager\CtrlVol.exe C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\F-Secure Internet Security\Common\FSM32.EXE C:\Programme\IPPS\XM2002®\XM2002.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.acer.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.t-mobile.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.sertek.com.tw/ O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing) O23 - Service: F-Secure Internet Security 2005 OEM (BackWeb Plug-in - 1245240) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure h**p Server (fsh**ps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fsh**ps\fsh**ps.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE und SilentRunner-Log: "Silent Runners.vbs", revision 41, h**p://w*w.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "wininet.dll" = "mscornet.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "LaunchApp" = "LaunApp" ["Wistron Corp."] "IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"] "SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] "LTSMMSG" = "LTSMMSG.exe" ["Lucent Technologies"] "LaunchAp" = ""C:\Programme\Acer\Launch Manager\LaunchAp.exe"" [empty string] "PowerKey" = ""C:\Programme\Acer\Launch Manager\PowerKey.exe"" ["Acer"] "HotkeyApp" = ""C:\Programme\Acer\Launch Manager\HotkeyApp.exe"" [null data] "KeyHook" = ""C:\Programme\Acer\Launch Manager\KeyHook.exe"" [null data] "CtrlVol" = ""C:\Programme\Acer\Launch Manager\CtrlVol.exe"" [null data] "Connect Update Agent" = ""C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe"" [null data] "Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"] "HP Software Update" = ""C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"" ["Hewlett-Packard"] "HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"] "HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" ["HP"] "DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"] "OpwareSE2" = ""C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"" ["ScanSoft, Inc."] "PinnacleDriverCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg" [empty string] "F-Secure Manager" = ""C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash" ["F-Secure Corporation"] "F-Secure TNB" = ""C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"] "F-Secure Startup Wizard" = ""C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot" ["F-Secure Corporation"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "XM2002" = "C:\Programme\IPPS\XM2002®\XM2002.exe -auto" [null data] "intell32.exe" = "C:\WINDOWS\System32\intell32.exe" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34546}" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\vbsys2.dll" [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "***" & "All Users" startup folders: ----------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "Scheduled scanning task" -> launches: "C:\PROGRA~1\F-SECU~1\ANTI-V~1\fsav.exe /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=C:\PROGRA~1\F-SECU~1\ANTI-V~1\report.txt " ["F-Secure Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: winsflt.dll [empty string], 01 - 05, 11 %SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 12 - 29 %SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {200DB664-75B5-47C0-8B45-A44ACCF73C00}\ "ButtonText" = "Webfilter" "CLSIDExtension" = "{D68926FD-18FD-4B0E-A1C7-917D13FAB760}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"] {200DB664-75B5-47C0-8B45-A44ACCF73F01}\ "MenuText" = "Website-&Liste anzeigen" "CLSIDExtension" = "{CF06A44B-19DA-4eac-B7CF-4AB0198DD959}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"] {200DB664-75B5-47C0-8B45-A44ACCF73F02}\ "MenuText" = "Webseitenfilter &aussetzen" "CLSIDExtension" = "{878137C3-9DAC-4a48-9625-78A054E86C1E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"] {200DB664-75B5-47C0-8B45-A44ACCF73F03}\ "MenuText" = "Diese Website &sperren" "CLSIDExtension" = "{A7FC740A-AC46-46d2-9262-E368D619AD17}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"] {200DB664-75B5-47C0-8B45-A44ACCF73F04}\ "MenuText" = "Diese Website &zulassen" "CLSIDExtension" = "{C459289E-2150-486b-8556-12C706799CAC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"] {ECC5777A-6E88-BFCE-13CE-81F134789E7B}\ "ButtonText" = "XM2002®" "MenuText" = "&XM2002®" "Exec" = "C:\Programme\IPPS\XM2002®\XM2002.exe" [null data] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=h**p://w*w.sertek.com.tw/ Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"] F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."] F-Secure h**p Server, fsh**ps, ""C:\Programme\F-Secure Internet Security\FSPC\fsh**ps\fsh**ps.exe"" ["F-Secure Corporation"] F-Secure Internet Security 2005 OEM, BackWeb Plug-in - 1245240, "C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE" [null data] F-Secure Management Agent, FSMA, ""C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE"" ["F-Secure Corporation"] fsbwsys, fsbwsys, ""C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe"" ["F-Secure Corp."] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt09\Driver = "hpzsnt09.dll" ["HP"] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 270 seconds, including 3 seconds for message boxes) Hoffe es hilft dir weiter! so long... DJ |
|
|
||
06.11.2005, 13:58
Ehrenmitglied
Beiträge: 29434 |
#48
DJDynamite
ich brauche noch diese 4 logs http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2005, 14:25
Member
Beiträge: 13 |
#49
Biddeschön:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C79-BF17 Verzeichnis von C:\WINDOWS\system32 05/11/2005 19:31 586.752 WININET.DLL.$DIS 04/11/2005 21:04 104.791 system32 04/11/2005 19:31 5.260 ncompat.tlb 04/11/2005 17:49 43.520 CmdLineExt03.dll 03/11/2005 20:05 15.360 ldA621.tmp 02/11/2005 23:24 6.656 INTELL32.0XE 02/11/2005 23:24 4.286 ts.ico 02/11/2005 23:24 4.286 ot.ico 02/11/2005 23:23 8.844 mssearchnet.0xe 02/11/2005 23:23 12.532 nvctrl.0xe 02/11/2005 23:21 10.512 mscornet.0xe 01/11/2005 09:55 381.890 perfh009.dat 01/11/2005 09:55 53.634 perfc009.dat 01/11/2005 09:55 392.750 perfh007.dat 01/11/2005 09:55 64.650 perfc007.dat 01/11/2005 09:55 902.476 PerfStringBackup.INI 11/10/2005 21:02 4.573 web.0xe 10/10/2005 18:42 10.240 NOTEPAD.0XE 09/10/2005 13:03 1.148 wpa.dbl 07/10/2005 18:43 23.040 USBN.0XE 24/09/2005 20:15 20.480 Test.exe Harnig ??????? 05/07/2005 06:58 6 reboot.txt 20/06/2005 07:49 1.155.072 winsflt.dll 20/06/2005 07:47 89.088 VEACVK.0XE 20/06/2005 07:47 89.088 sdkhsu.0xe ??????????? 05/06/2005 15:02 16.832 amcompat.tlb 05/06/2005 15:02 23.392 nscompat.tlb Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C79-BF17 Verzeichnis von C:\DOKUME~1\JOEVRA~1\LOKALE~1\Temp 06/11/2005 11:12 16.384 ~DFF143.tmp 05/11/2005 19:32 98.304 ~DFB5D5.tmp 20/06/2005 07:29 24.613 IadHide5.dll 3 Datei(en) 139.301 Bytes 0 Verzeichnis(se), 4.585.668.608 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C79-BF17 Verzeichnis von C:\WINDOWS 05/11/2005 19:30 4.254 ModemLog_Lucent Technologies Soft Modem AMR.txt 05/11/2005 19:30 159 wiadebug.log 05/11/2005 19:30 50 wiaservc.log 05/11/2005 19:29 2.048 bootstat.dat 05/11/2005 19:29 32.620 SchedLgU.Txt 04/11/2005 21:05 648 win.ini 04/11/2005 10:32 9.994 ModemLog_Fusion UMTS GPRS WLAN - 3G Modem.txt 04/11/2005 09:53 116 NeroDigital.ini 11/10/2005 21:15 2.560 msxmidi.0xe 09/10/2005 21:05 6.036 switchagreement.txt 09/10/2005 21:05 1 twainx.bin 07/10/2005 18:43 23.040 internt.0xe 17/08/2005 21:36 0 iPlayer.INI 20/06/2005 07:29 118.784 bwUnin-6.3.2.62-1245240L.exe 12/06/2005 18:04 316.640 WMSysPr9.prx 12/06/2005 06:52 516 MAXLINK.INI 05/06/2005 15:18 33 magix.ini 05/06/2005 15:18 81 muma7.INI 04/06/2005 11:45 349 vtplus32.ini 04/06/2005 11:44 571 HCWPNP.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C79-BF17 Verzeichnis von C:\ 06/11/2005 14:20 0 sys.txt 06/11/2005 14:20 6.102 system.txt 06/11/2005 14:20 394 systemtemp.txt 06/11/2005 14:20 104.791 system32.txt 05/11/2005 19:29 259.510.272 hiberfil.sys 05/11/2005 19:29 390.070.272 pagefile.sys 04/11/2005 15:44 140.204 hpfr3600.log 21/07/2005 12:03 8.704 Thumbs.db 28/06/2005 19:43 275 Verknpfung mit Lokaler Datentr„ger (D).lnk 19/05/2005 03:41 194 BOOT.INI 18/05/2005 17:30 0 BOOTLOG.TXT 14/10/2002 16:12 495 PATCH.REV 24/01/2002 09:41 2.539 AUTOEXEC.BAT 22/01/2002 11:12 0 CONFIG.SYS 22/01/2002 08:16 512 BOOTSECT.DOS 22/01/2002 08:09 81 PRELOAD.REV 18/08/2001 11:00 4.952 bootfont.bin 18/08/2001 11:00 224.032 ntldr 18/08/2001 11:00 45.124 NTDETECT.COM 26/07/2001 11:24 9 MSDOS.SYS 05/05/1999 21:22 224.150 IO.SYS 05/05/1999 21:22 94.292 COMMAND.COM 22 Datei(en) 650.437.394 Bytes 0 Verzeichnis(se), 4.585.672.704 Bytes frei so long... DJ |
|
|
||
06.11.2005, 14:43
Ehrenmitglied
Beiträge: 29434 |
#50
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://virusscan.jotti.org/de/ http://www.virustotal.com/flash/index_en.html http://sandbox.norman.no/live_4.html C:\WINDOWS\system32\Test.exe C:\WINDOWS\system32\web.0xe C:\WINDOWS\system32\USBN.0XE C:\WINDOWS\system32\sdkhsu.0xe C:\WINDOWS\system32\VEACVK.0XE C:\WINDOWS\internt.0xe C:\WINDOWS\msxmidi.0xe C:\WINDOWS\system32\NOTEPAD.0XE Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4KILLBOX http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\system32 C:\Programme\Security Toolbar\Security Toolbar.dll C:\WINDOWS\system32\CmdLineExt03.dll C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\ldA621.tmp C:\WINDOWS\system32\INTELL32.0XE C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\mssearchnet.0xe C:\WINDOWS\system32\nvctrl.0xe C:\WINDOWS\system32\mscornet.0xe C:\DOKUME~1\JOEVRA~1\LOKALE~1\Temp\IadHide5.dll ------------------------------------------ C:\WINDOWS\system32\Test.exe C:\WINDOWS\system32\web.0xe C:\WINDOWS\system32\USBN.0XE C:\WINDOWS\system32\sdkhsu.0xe C:\WINDOWS\system32\VEACVK.0XE C:\WINDOWS\internt.0xe C:\WINDOWS\msxmidi.0xe PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken loesche: C:\Programme\Security Toolbar --------------------------------------------------------------- smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2005, 15:26
Member
Beiträge: 13 |
#51
Zitat Sabina posteteSoll ich die alle in Killbox reinkopieren? Mich irritiert die gestrichelte Linie ein wenig... Hmm, das mit den Dateien durchsuchen könnt ein Problem werden. Der Virus ist nämlich auf einem Laptop von einem Kollegen. Ich hab den Laptop zwar neben mir stehen, allerdings ohne Inet, kann ich die Dateien gefahrlos runterbrennen und bei mir reingeben oder hol ich mir den Virus dann ebenfalls? Kaspersky scannen entfällt somit ebenfalls, aber wenn der Virus dann noch oben wäre dann würde F-Secure sowieso gleich wieder schreien... Soll ich smitrem noch im abgesicherten fahren oder wieder im Normalen Windwows? Fragen über Fragen, sorry so long.. DJ |
|
|
||
06.11.2005, 15:56
Ehrenmitglied
Beiträge: 29434 |
#52
normalerweise strichel ich nicht aber dieser PC ist hoechst eigenartig, wegen der 0xe-Endungen und nicht exe
ich bin mir sicher, dass die Dateien unter der Strichellinie Viren sind, aber nicht sicher genug, um nicht erst scannen zu lassen, bevor man sie loescht...... die Dateien solltest du nicht auf deinen PC laden...... benenne sie also erst mal um in old und lasse sie so (also erst mal nicht loeschen, sondern nur umbenennen) Zitat C:\WINDOWS\system32\Test.exesmitrem kannst du im Normalmodus anwenden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2005, 16:00
Member
Beiträge: 13 |
#53
Das heißt ich sollte die unter der gestichelten Linie erst scannen und dann löschen wenn sie Viren sind.
Kann es sein dass das irgendwelche Windows-Files sind in die sich der Virus eingenistet hat, die ich aber nicht löschen sollte weil Windows die braucht? wie schauts mit smitrem aus? Abgesichert oder Normal? so long... DJ |
|
|
||
06.11.2005, 16:01
Ehrenmitglied
Beiträge: 29434 |
#54
Zitat 05/11/2005 19:31 586.752 WININET.DLL.$DIS<---der "Boesewicht"...nicht loeschen, die dll muss mit einer sauberen ersetzt werden !!!!! wenn smitrem und das loeschen mit der Killbox und das umbenennen erledigt ist: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Systemdrive%\wininet.dll /a h /s > files.txt start notepad files.txt - Speichern als: wininet.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2005, 16:04
Ehrenmitglied
Beiträge: 29434 |
#55
benenne erst mal die "stricheldateien" nur um, lasse sie so, wie sehen spaeter weiter, erst mal muss die wininet sauber sein, damit man die dubiosen Dateien scannen kann..also das net wieder funktioniert....
smitrem kannst du im Normalmodus anwenden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2005, 16:08
Ehrenmitglied
Beiträge: 29434 |
#56
und ich hab ganz vergessen:
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.sertek.com.tw/ <---wenn das unbekannt ist--> fixen O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing) neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2005, 16:16
Member
Beiträge: 13 |
#57
Okay, also:
Ich mache folgendes: 1. benenne ich die Dateien UNTER der Strichlierten Linie um. 2. Killbox der Files OBER der strichlierten Linie 3. Neustart im abgesicherten Modus 4. löschen von C:\Programme\Security Toolbar 5. Smitrem ausführen im Abgesicherten Modus, wenn ich schon mal drinnen bin und um zu verhindern dass der Virus sich nochmal wo reinfrisst 6.: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Systemdrive%\wininet.dll /a h /s > files.txt start notepad files.txt - Speichern als: wininet.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text 7. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT44-7 mach ich im abgesicherten Modus. Oder entfällt Pkt. 7 aufgrund von Pkt. 6 Danach neu starten, datfindbat, HJT, Silent Runners Log posten, weiters smitrem Log und Log von Pkt. 6 posten. so long... DJ |
|
|
||
06.11.2005, 16:20
Ehrenmitglied
Beiträge: 29434 |
#58
zuerst das:
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.sertek.com.tw/ <---wenn das unbekannt ist--> fixen O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing) PC neustarten dann alles weitere, wie du es beschrieben hast __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2005, 16:22
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.11.2005, 16:27
Member
Beiträge: 13 |
||
|
||
CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina
rund um die PC-Sicherheit