W32/Nsag.B - Virus. Was kann ich dagegen tun???

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.11.2005, 18:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 DJDynamite

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien


Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 11:28
Member

Beiträge: 13
#47 Hy @ Sabina

So hier mal HJT-LOG:

Logfile of HijackThis v1.99.1
Scan saved at 11:12:05, on 06/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\IPPS\XM2002®\XM2002.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.t-mobile.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.sertek.com.tw/
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: F-Secure Internet Security 2005 OEM (BackWeb Plug-in - 1245240) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure h**p Server (fsh**ps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fsh**ps\fsh**ps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE

und SilentRunner-Log:

"Silent Runners.vbs", revision 41, h**p://w*w.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [file not found]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "LaunApp" ["Wistron Corp."]
"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"LTSMMSG" = "LTSMMSG.exe" ["Lucent Technologies"]
"LaunchAp" = ""C:\Programme\Acer\Launch Manager\LaunchAp.exe"" [empty string]
"PowerKey" = ""C:\Programme\Acer\Launch Manager\PowerKey.exe"" ["Acer"]
"HotkeyApp" = ""C:\Programme\Acer\Launch Manager\HotkeyApp.exe"" [null data]
"KeyHook" = ""C:\Programme\Acer\Launch Manager\KeyHook.exe"" [null data]
"CtrlVol" = ""C:\Programme\Acer\Launch Manager\CtrlVol.exe"" [null data]
"Connect Update Agent" = ""C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe"" [null data]
"Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"HP Software Update" = ""C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"" ["Hewlett-Packard"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" ["HP"]
"DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"OpwareSE2" = ""C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"" ["ScanSoft, Inc."]
"PinnacleDriverCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg" [empty string]
"F-Secure Manager" = ""C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]
"F-Secure Startup Wizard" = ""C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot" ["F-Secure Corporation"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"XM2002" = "C:\Programme\IPPS\XM2002®\XM2002.exe -auto" [null data]
"intell32.exe" = "C:\WINDOWS\System32\intell32.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34546}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\vbsys2.dll" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "***" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"Scheduled scanning task" -> launches: "C:\PROGRA~1\F-SECU~1\ANTI-V~1\fsav.exe /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=C:\PROGRA~1\F-SECU~1\ANTI-V~1\report.txt " ["F-Secure Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
winsflt.dll [empty string], 01 - 05, 11
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 12 - 29
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{200DB664-75B5-47C0-8B45-A44ACCF73C00}\
"ButtonText" = "Webfilter"
"CLSIDExtension" = "{D68926FD-18FD-4B0E-A1C7-917D13FAB760}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{200DB664-75B5-47C0-8B45-A44ACCF73F01}\
"MenuText" = "Website-&Liste anzeigen"
"CLSIDExtension" = "{CF06A44B-19DA-4eac-B7CF-4AB0198DD959}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{200DB664-75B5-47C0-8B45-A44ACCF73F02}\
"MenuText" = "Webseitenfilter &aussetzen"
"CLSIDExtension" = "{878137C3-9DAC-4a48-9625-78A054E86C1E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{200DB664-75B5-47C0-8B45-A44ACCF73F03}\
"MenuText" = "Diese Website &sperren"
"CLSIDExtension" = "{A7FC740A-AC46-46d2-9262-E368D619AD17}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{200DB664-75B5-47C0-8B45-A44ACCF73F04}\
"MenuText" = "Diese Website &zulassen"
"CLSIDExtension" = "{C459289E-2150-486b-8556-12C706799CAC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{ECC5777A-6E88-BFCE-13CE-81F134789E7B}\
"ButtonText" = "XM2002®"
"MenuText" = "&XM2002®"
"Exec" = "C:\Programme\IPPS\XM2002®\XM2002.exe" [null data]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=h**p://w*w.sertek.com.tw/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]
F-Secure h**p Server, fsh**ps, ""C:\Programme\F-Secure Internet Security\FSPC\fsh**ps\fsh**ps.exe"" ["F-Secure Corporation"]
F-Secure Internet Security 2005 OEM, BackWeb Plug-in - 1245240, "C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE" [null data]
F-Secure Management Agent, FSMA, ""C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE"" ["F-Secure Corporation"]
fsbwsys, fsbwsys, ""C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe"" ["F-Secure Corp."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 270 seconds, including 3 seconds for message boxes)

Hoffe es hilft dir weiter!

so long...
DJ
Seitenanfang Seitenende
06.11.2005, 13:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 DJDynamite

ich brauche noch diese 4 logs
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 14:25
Member

Beiträge: 13
#49 Biddeschön:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C79-BF17

Verzeichnis von C:\WINDOWS\system32

05/11/2005 19:31 586.752 WININET.DLL.$DIS
04/11/2005 21:04 104.791 system32
04/11/2005 19:31 5.260 ncompat.tlb
04/11/2005 17:49 43.520 CmdLineExt03.dll
03/11/2005 20:05 15.360 ldA621.tmp
02/11/2005 23:24 6.656 INTELL32.0XE
02/11/2005 23:24 4.286 ts.ico
02/11/2005 23:24 4.286 ot.ico
02/11/2005 23:23 8.844 mssearchnet.0xe
02/11/2005 23:23 12.532 nvctrl.0xe
02/11/2005 23:21 10.512 mscornet.0xe

01/11/2005 09:55 381.890 perfh009.dat
01/11/2005 09:55 53.634 perfc009.dat
01/11/2005 09:55 392.750 perfh007.dat
01/11/2005 09:55 64.650 perfc007.dat
01/11/2005 09:55 902.476 PerfStringBackup.INI
11/10/2005 21:02 4.573 web.0xe
10/10/2005 18:42 10.240 NOTEPAD.0XE
09/10/2005 13:03 1.148 wpa.dbl
07/10/2005 18:43 23.040 USBN.0XE
24/09/2005 20:15 20.480 Test.exe
Harnig ???????
05/07/2005 06:58 6 reboot.txt
20/06/2005 07:49 1.155.072 winsflt.dll
20/06/2005 07:47 89.088 VEACVK.0XE
20/06/2005 07:47 89.088 sdkhsu.0xe
???????????
05/06/2005 15:02 16.832 amcompat.tlb
05/06/2005 15:02 23.392 nscompat.tlb

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C79-BF17

Verzeichnis von C:\DOKUME~1\JOEVRA~1\LOKALE~1\Temp

06/11/2005 11:12 16.384 ~DFF143.tmp
05/11/2005 19:32 98.304 ~DFB5D5.tmp
20/06/2005 07:29 24.613 IadHide5.dll
3 Datei(en) 139.301 Bytes
0 Verzeichnis(se), 4.585.668.608 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C79-BF17

Verzeichnis von C:\WINDOWS

05/11/2005 19:30 4.254 ModemLog_Lucent Technologies Soft Modem AMR.txt
05/11/2005 19:30 159 wiadebug.log
05/11/2005 19:30 50 wiaservc.log
05/11/2005 19:29 2.048 bootstat.dat
05/11/2005 19:29 32.620 SchedLgU.Txt
04/11/2005 21:05 648 win.ini
04/11/2005 10:32 9.994 ModemLog_Fusion UMTS GPRS WLAN - 3G Modem.txt
04/11/2005 09:53 116 NeroDigital.ini
11/10/2005 21:15 2.560 msxmidi.0xe
09/10/2005 21:05 6.036 switchagreement.txt

09/10/2005 21:05 1 twainx.bin
07/10/2005 18:43 23.040 internt.0xe
17/08/2005 21:36 0 iPlayer.INI
20/06/2005 07:29 118.784 bwUnin-6.3.2.62-1245240L.exe
12/06/2005 18:04 316.640 WMSysPr9.prx
12/06/2005 06:52 516 MAXLINK.INI
05/06/2005 15:18 33 magix.ini
05/06/2005 15:18 81 muma7.INI
04/06/2005 11:45 349 vtplus32.ini
04/06/2005 11:44 571 HCWPNP.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C79-BF17

Verzeichnis von C:\

06/11/2005 14:20 0 sys.txt
06/11/2005 14:20 6.102 system.txt
06/11/2005 14:20 394 systemtemp.txt
06/11/2005 14:20 104.791 system32.txt
05/11/2005 19:29 259.510.272 hiberfil.sys
05/11/2005 19:29 390.070.272 pagefile.sys
04/11/2005 15:44 140.204 hpfr3600.log
21/07/2005 12:03 8.704 Thumbs.db
28/06/2005 19:43 275 Verknpfung mit Lokaler Datentr„ger (D).lnk
19/05/2005 03:41 194 BOOT.INI
18/05/2005 17:30 0 BOOTLOG.TXT
14/10/2002 16:12 495 PATCH.REV
24/01/2002 09:41 2.539 AUTOEXEC.BAT
22/01/2002 11:12 0 CONFIG.SYS
22/01/2002 08:16 512 BOOTSECT.DOS
22/01/2002 08:09 81 PRELOAD.REV
18/08/2001 11:00 4.952 bootfont.bin
18/08/2001 11:00 224.032 ntldr
18/08/2001 11:00 45.124 NTDETECT.COM
26/07/2001 11:24 9 MSDOS.SYS
05/05/1999 21:22 224.150 IO.SYS
05/05/1999 21:22 94.292 COMMAND.COM
22 Datei(en) 650.437.394 Bytes
0 Verzeichnis(se), 4.585.672.704 Bytes frei

so long...
DJ
Seitenanfang Seitenende
06.11.2005, 14:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://virusscan.jotti.org/de/
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\system32\Test.exe
C:\WINDOWS\system32\web.0xe
C:\WINDOWS\system32\USBN.0XE
C:\WINDOWS\system32\sdkhsu.0xe
C:\WINDOWS\system32\VEACVK.0XE
C:\WINDOWS\internt.0xe
C:\WINDOWS\msxmidi.0xe
C:\WINDOWS\system32\NOTEPAD.0XE


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wininet.dll"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"intell32.exe"=-
KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\system32
C:\Programme\Security Toolbar\Security Toolbar.dll
C:\WINDOWS\system32\CmdLineExt03.dll
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldA621.tmp
C:\WINDOWS\system32\INTELL32.0XE
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.0xe
C:\WINDOWS\system32\nvctrl.0xe
C:\WINDOWS\system32\mscornet.0xe
C:\DOKUME~1\JOEVRA~1\LOKALE~1\Temp\IadHide5.dll

------------------------------------------
C:\WINDOWS\system32\Test.exe
C:\WINDOWS\system32\web.0xe
C:\WINDOWS\system32\USBN.0XE
C:\WINDOWS\system32\sdkhsu.0xe
C:\WINDOWS\system32\VEACVK.0XE
C:\WINDOWS\internt.0xe
C:\WINDOWS\msxmidi.0xe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

loesche:
C:\Programme\Security Toolbar

---------------------------------------------------------------
smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 15:26
Member

Beiträge: 13
#51

Zitat

Sabina postete
C:\WINDOWS\system32\system32
C:\Programme\Security Toolbar\Security Toolbar.dll
C:\WINDOWS\system32\CmdLineExt03.dll
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldA621.tmp
C:\WINDOWS\system32\INTELL32.0XE
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.0xe
C:\WINDOWS\system32\nvctrl.0xe
C:\WINDOWS\system32\mscornet.0xe
C:\DOKUME~1\JOEVRA~1\LOKALE~1\Temp\IadHide5.dll

------------------------------------------
C:\WINDOWS\system32\Test.exe
C:\WINDOWS\system32\web.0xe
C:\WINDOWS\system32\USBN.0XE
C:\WINDOWS\system32\sdkhsu.0xe
C:\WINDOWS\system32\VEACVK.0XE
C:\WINDOWS\internt.0xe
C:\WINDOWS\msxmidi.0xe
Soll ich die alle in Killbox reinkopieren? Mich irritiert die gestrichelte Linie ein wenig...

Hmm, das mit den Dateien durchsuchen könnt ein Problem werden. Der Virus ist nämlich auf einem Laptop von einem Kollegen. Ich hab den Laptop zwar neben mir stehen, allerdings ohne Inet, kann ich die Dateien gefahrlos runterbrennen und bei mir reingeben oder hol ich mir den Virus dann ebenfalls?

Kaspersky scannen entfällt somit ebenfalls, aber wenn der Virus dann noch oben wäre dann würde F-Secure sowieso gleich wieder schreien...

Soll ich smitrem noch im abgesicherten fahren oder wieder im Normalen Windwows?

Fragen über Fragen, sorry

so long..
DJ
Seitenanfang Seitenende
06.11.2005, 15:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 normalerweise strichel ich nicht ;) aber dieser PC ist hoechst eigenartig, wegen der 0xe-Endungen und nicht exe

ich bin mir sicher, dass die Dateien unter der Strichellinie Viren sind, aber nicht sicher genug, um nicht erst scannen zu lassen, bevor man sie loescht......

die Dateien solltest du nicht auf deinen PC laden......
benenne sie also erst mal um in old und lasse sie so (also erst mal nicht loeschen, sondern nur umbenennen)

Zitat

C:\WINDOWS\system32\Test.exe
C:\WINDOWS\system32\web.0xe
C:\WINDOWS\system32\USBN.0XE
C:\WINDOWS\system32\sdkhsu.0xe
C:\WINDOWS\system32\VEACVK.0XE
C:\WINDOWS\internt.0xe
C:\WINDOWS\msxmidi.0xe
smitrem kannst du im Normalmodus anwenden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 16:00
Member

Beiträge: 13
#53 Das heißt ich sollte die unter der gestichelten Linie erst scannen und dann löschen wenn sie Viren sind.
Kann es sein dass das irgendwelche Windows-Files sind in die sich der Virus eingenistet hat, die ich aber nicht löschen sollte weil Windows die braucht?

wie schauts mit smitrem aus? Abgesichert oder Normal?

so long...
DJ
Seitenanfang Seitenende
06.11.2005, 16:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54

Zitat

05/11/2005 19:31 586.752 WININET.DLL.$DIS
<---der "Boesewicht"...nicht loeschen, die dll muss mit einer sauberen ersetzt werden !!!!!

wenn smitrem und das loeschen mit der Killbox und das umbenennen erledigt ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 16:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#55 benenne erst mal die "stricheldateien" ;) nur um, lasse sie so, wie sehen spaeter weiter, erst mal muss die wininet sauber sein, damit man die dubiosen Dateien scannen kann..also das net wieder funktioniert....

smitrem kannst du im Normalmodus anwenden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 und ich hab ganz vergessen:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.sertek.com.tw/ <---wenn das unbekannt ist--> fixen

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

neustarten

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 16:16
Member

Beiträge: 13
#57 Okay, also:

Ich mache folgendes:

1. benenne ich die Dateien UNTER der Strichlierten Linie um.
2. Killbox der Files OBER der strichlierten Linie
3. Neustart im abgesicherten Modus
4. löschen von C:\Programme\Security Toolbar
5. Smitrem ausführen im Abgesicherten Modus, wenn ich schon mal drinnen bin und um zu verhindern dass der Virus sich nochmal wo reinfrisst
6.: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

7. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wininet.dll"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"intell32.exe"=-
4-7 mach ich im abgesicherten Modus.
Oder entfällt Pkt. 7 aufgrund von Pkt. 6

Danach neu starten, datfindbat, HJT, Silent Runners Log posten, weiters smitrem Log und Log von Pkt. 6 posten.

so long...
DJ
Seitenanfang Seitenende
06.11.2005, 16:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58 zuerst das:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.sertek.com.tw/ <---wenn das unbekannt ist--> fixen

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

PC neustarten

dann alles weitere, wie du es beschrieben hast
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#59 von smitrem muss ich den scanreport sehen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2005, 16:27
Member

Beiträge: 13
#60 okay danke, ja den bekommst du.

Wie siehts mit Punkt 7 aus?

so long...
DJ
Seitenanfang Seitenende