Spyware Probleme ohne Ende :-(

#0
06.11.2005, 16:09
Member

Beiträge: 12
#1 Hi,

kann mir jemand sagen, wo sich meine Probleme verstecken?

Hier meine Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:15:43, on 06.11.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVGUARD.EXE
D:\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\System32\nvctrl.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
D:\AVGNT.EXE
D:\Winamp\Winampa.exe
C:\WINNT\System32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Process Viewer\PrcView.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\escheck\eScanCheck110.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\escheck\eScanCheck110.exe
C:\bases_x\mwavscan.com
C:\bases_x\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINNT\System32\hp32CE.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4C7415-3E5E-454C-AB5F-88DA27325CA5}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
Seitenanfang Seitenende
07.11.2005, 12:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Tina02

kopiere hier die 4 Logs, dann helfe ich dir, den PC zu saeubern ;)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2005, 08:08
Member

Themenstarter

Beiträge: 12
#3 Hi Sabina,

ich habe die Log, die datfindbat erzeugt hat hier rein kopiert.

Kannst Du mir helfen?
LG,
Tina

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\WINNT\system32

08.11.2005 08:13 5.420 ncompat.tlb
08.11.2005 08:05 5.120 msvol.tlb
08.11.2005 08:05 16.384 hp21FC.tmp
08.11.2005 08:05 15.360 ld1F2B.tmp
07.11.2005 20:50 4.286 ot.ico
07.11.2005 20:50 4.286 ts.ico
07.11.2005 20:50 8.840 mssearchnet.exe
06.11.2005 13:12 12.584 nvctrl.exe
06.11.2005 13:10 10.368 mscornet.exe
03.09.2005 20:44 311.296 WinNB57.dll

02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log
13.08.2005 21:46 16.832 amcompat.tlb
13.08.2005 21:46 23.392 nscompat.tlb
13.08.2005 21:36 106.216 FNTCACHE.DAT
02.06.2005 15:34 245.408 unicows.dll
13.04.2005 02:48 127.078 javaws.exe
13.04.2005 02:48 49.265 jpicpl32.cpl
13.04.2005 01:20 49.250 javaw.exe
13.04.2005 01:19 49.248 java.exe
30.03.2005 16:26 100.352 dfrg.msc
11.03.2005 23:48 108.544 pxcpyi64.exe
11.03.2005 23:48 56.320 pxinsa64.exe
11.03.2005 23:48 56.832 pxcpya64.exe
11.03.2005 23:48 61.440 pxhpinst.exe
11.03.2005 23:48 109.568 pxinsi64.exe
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 151.552 pxwma.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 405.504 pxdrv.dll
11.03.2005 23:28 339.968 px.dll
12.02.2005 17:35 16.826 brdiag.GID
27.01.2005 14:39 466.944 capicom.dll
27.10.2004 17:07 53.248 unrar.dll
08.04.2004 16:51 939.368 Flash.ocx
26.02.2004 18:00 65.536 WinRas32.ocx
24.02.2004 02:42 1.386.496 msvbvm60.dll
22.01.2004 20:49 53.520 msasn1.dll
06.11.2003 14:42 0 TFTP2328
28.10.2003 19:58 2.951 CONFIG.NT
28.10.2003 19:56 300.378 perfh009.dat
28.10.2003 19:56 38.036 perfc009.dat
28.10.2003 19:56 289.156 perfh007.dat
28.10.2003 19:56 46.232 perfc007.dat
28.10.2003 19:56 21.817 folder.htt
28.10.2003 19:56 271 desktop.ini
28.10.2003 19:55 525 mapisvc.inf
28.10.2003 19:55 15.076 emptyregdb.dat
Seitenanfang Seitenende
08.11.2005, 14:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 nu ja..die Daten von 1999 interessieren mich nicht so sehr..obwohl, ich habe gesehen, dass du einen anonymen FTP-Server hast...also ein Backdoor laedt fleissig Daten runter.....

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien




...poste noch die anderen 3 Logs....!!!!...auf der Seite von Datfindbat ist erklaert, dass es 4 Logs sind ;)

+

das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2005, 19:30
Member

Themenstarter

Beiträge: 12
#5 Hallo Sabina,

soo..., ich habe jetzt die vier Log-Dateien reinkopiert (sorry, habe ich heute morgen auf die Schnelle nicht kapiert).

Kannst Du mir helfen?

C:\Windows\System32

08.11.2005 19:27 5.420 ncompat.tlb
08.11.2005 19:22 5.120 msvol.tlb
08.11.2005 19:22 16.384 hp3469.tmp
08.11.2005 19:22 15.360 ld2E1D.tmp
07.11.2005 20:50 4.286 ot.ico
07.11.2005 20:50 4.286 ts.ico
07.11.2005 20:50 8.840 mssearchnet.exe
06.11.2005 13:12 12.584 nvctrl.exe
06.11.2005 13:10 10.368 mscornet.exe
03.09.2005 20:44 311.296 WinNB57.dll

02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log
13.08.2005 21:46 16.832 amcompat.tlb
13.08.2005 21:46 23.392 nscompat.tlb
13.08.2005 21:36 106.216 FNTCACHE.DAT
02.06.2005 15:34 245.408 unicows.dll
13.04.2005 02:48 127.078 javaws.exe
13.04.2005 02:48 49.265 jpicpl32.cpl
13.04.2005 01:20 49.250 javaw.exe
13.04.2005 01:19 49.248 java.exe
30.03.2005 16:26 100.352 dfrg.msc
11.03.2005 23:48 108.544 pxcpyi64.exe
11.03.2005 23:48 56.320 pxinsa64.exe
11.03.2005 23:48 56.832 pxcpya64.exe
11.03.2005 23:48 61.440 pxhpinst.exe
11.03.2005 23:48 109.568 pxinsi64.exe
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 151.552 pxwma.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 405.504 pxdrv.dll
11.03.2005 23:28 339.968 px.dll
12.02.2005 17:35 16.826 brdiag.GID
27.01.2005 14:39 466.944 capicom.dll
27.10.2004 17:07 53.248 unrar.dll
08.04.2004 16:51 939.368 Flash.ocx
26.02.2004 18:00 65.536 WinRas32.ocx
24.02.2004 02:42 1.386.496 msvbvm60.dll
22.01.2004 20:49 53.520 msasn1.dll

temporaere Datein

08.11.2005 19:34 512 ~DFF37A.tmp
08.11.2005 19:26 16.384 ~DFA733.tmp
08.11.2005 19:22 21.515 jusched.log
08.11.2005 08:06 16.384 ~DF62B0.tmp

24.01.2005 19:25 10.332 mso1C0.emf
24.01.2005 19:25 7.960 mso10C.emf
24.01.2005 19:25 7.048 mso75.emf
24.01.2005 19:25 4.368 mso7.emf
24.01.2005 19:25 33.876 mso364.emf
18.01.2005 13:02 159.744 MirarSetup.exe

C:\Windows

08.11.2005 08:18 32.592 SchedLgU.Txt
06.11.2005 13:58 1.286.138 ShellIconCache
06.11.2005 13:43 147 winamp.ini
06.11.2005 12:20 669.313 setupapi.log
03.09.2005 20:42 6.036 switchagreement.txt
03.09.2005 20:42 1 imsins_.bin
03.09.2005 20:42 93 KB842252.log
03.09.2005 10:12 27 stwin04.ini
03.09.2005 10:12 59 d2hnav.ini
03.09.2005 10:10 296 BRDIAG.INI
03.09.2005 10:10 11 BRVIDEO.INI
03.09.2005 10:10 12 Brownie.ini
03.09.2005 10:10 12 BRPP2KA.INI

28.08.2005 12:38 14.054 SYMEVENT.LOG
13.08.2005 21:50 1.514 OEWABLog.txt
13.08.2005 21:47 11.520 Active Setup Log.txt
13.08.2005 21:39 5.882 Active Setup Log.BAK
13.08.2005 21:35 231 system.ini
05.08.2005 19:24 1.287 ModemDet.txt
30.07.2005 14:48 23.111 ModemLog_MicroLink 56k Fun .txt
05.05.2005 07:09 3.188 tm.ini
20.04.2005 20:02 35 tdf.dii
30.03.2005 15:42 94.240 iis5.log
30.03.2005 15:42 60.379 comsetup.log
30.03.2005 15:42 1.968 imsins.log
30.03.2005 15:42 25.337 ocgen.log
30.03.2005 15:42 2.081 ockodak.log
04.03.2005 17:50 1.928 imsins.BAK
12.02.2005 17:39 453 BRWMARK.INI
12.02.2005 14:58 40 opt_1430.ini
12.02.2005 14:51 0 brmx2001.ini
12.02.2005 14:51 0 BROHL143.INI

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\

08.11.2005 19:36 0 sys.txt
08.11.2005 19:36 5.326 system.txt
08.11.2005 19:35 19.571 systemtemp.txt
08.11.2005 19:33 81.859 system32.txt
08.11.2005 19:21 402.247.680 hiberfil.sys
08.11.2005 19:21 201.326.592 pagefile.sys
07.11.2005 20:51 2 AVPCallback.log
06.11.2005 19:08 0 23990098.$$$
03.10.2005 18:03 2.855.080 aawsepersonal.exe
29.09.2005 10:17 895.488 iview397.exe
26.08.2005 21:55 692.224 StubInstaller.exe
08.10.2004 16:03 0 AILog.txt
07.11.2003 10:40 215.904 ntldr
07.11.2003 10:40 34.468 NTDETECT.COM
28.10.2003 19:58 0 IO.SYS
28.10.2003 19:58 0 MSDOS.SYS
28.10.2003 19:58 0 AUTOEXEC.BAT
28.10.2003 19:58 0 CONFIG.SYS
28.10.2003 19:52 192 boot.ini
24.06.2003 11:52 4.245 __ofidx.ffa
19.11.2000 20:49 3.072.671 397ger.exe
21 Datei(en) 611.451.302 Bytes
0 Verzeichnis(se), 202.838.016 Bytes frei

@Sabina

Und hier das Log vom Silentrunner
:
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Arcor Online" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [null data]
"kernel32.dll" = "C:\WINNT\system32\mssearchnet.exe" [null data]
"nvctrl.exe" = "nvctrl.exe" [null data]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."]
"SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [file not found]
"AVGCtrl" = ""D:\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Arcor Online" = (empty string)
"WinampAgent" = ""D:\Winamp\Winampa.exe"" [null data]
"Synchronization Manager" = "mobsync.exe /logon" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd}\(Default) = "HomepageBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hp3469.tmp" [null data]
Dieser Beitrag wurde am 08.11.2005 um 19:44 Uhr von Tina02 editiert.
Seitenanfang Seitenende
09.11.2005, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 mache folgendes: (dann beginnt die Reinigung)

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

das zweite Log (von den temoraeren Dateien muss leer sein)

poste das Log vom Silentrunner noch mal, aber komplett, bitte

-----------------------------------------------------------------------
Info: (dann bekommen wir alles schnell sauber ;)
http://virus-protect.org/artikel/spyware/mscornet.html

08.11.2005 19:22 16.384 hp3469.tmp
08.11.2005 19:22 15.360 ld2E1D.tmp
07.11.2005 20:50 4.286 ot.ico
07.11.2005 20:50 4.286 ts.ico
07.11.2005 20:50 8.840 mssearchnet.exe
06.11.2005 13:12 12.584 nvctrl.exe
06.11.2005 13:10 10.368 mscornet.exe
03.09.2005 20:44 311.296 WinNB57.dll

18.01.2005 13:02 159.744 MirarSetup.exe
20.02.2005 09:04 516 DelUS.bat

26.08.2005 21:55 692.224 StubInstaller.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2005, 21:26
Member

Themenstarter

Beiträge: 12
#7 @Sabina

habe alle temp-Dateien gelöscht und hier das Log vom Silentrunner gepostet. Außerdem habe ich auch noch mal die aktuellen 4 Datfindbat-Log gepostet.

Was soll ich jetzt tun?

Danke für Deine Hilfe.

Liebe Grüße,
Tina

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Arcor Online" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [null data]
"kernel32.dll" = "C:\WINNT\system32\mssearchnet.exe" [null data]
"nvctrl.exe" = "nvctrl.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."]
"SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [file not found]
"AVGCtrl" = ""D:\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Arcor Online" = (empty string)
"WinampAgent" = ""D:\Winamp\Winampa.exe"" [null data]
"Synchronization Manager" = "mobsync.exe /logon" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd}\(Default) = "HomepageBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hp26D6.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\IrfanView\IrfanView_Wallpaper.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = ""
"Source" = "C:\Dokumente und Einstellungen\Christina\Desktop\Liebevoll.jpg"
"SubscribedURL" = "C:\Dokumente und Einstellungen\Christina\Desktop\Liebevoll.jpg"


Startup items in "Christina" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"WinZip Quick Pick" -> shortcut to: "C:\Programme\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc. and H.C. Top Systems B.V."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

"{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}\ = "SecurityToolbar"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data]


Miscellaneous IE Hijack Points
------------------------------

C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""D:\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""D:\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S400\Driver = "CNMLM2P.DLL" ["CANON INC."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 36 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 49 seconds.
---------- (total run time: 195 seconds)

1. Datfindbat Log

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\WINNT\system32

10.11.2005 21:57 5.420 ncompat.tlb
10.11.2005 21:19 5.120 msvol.tlb
10.11.2005 21:19 16.384 hp26D6.tmp
10.11.2005 21:19 15.360 ld1A98.tmp
07.11.2005 20:50 4.286 ot.ico
07.11.2005 20:50 4.286 ts.ico
07.11.2005 20:50 8.840 mssearchnet.exe
06.11.2005 13:12 12.584 nvctrl.exe
06.11.2005 13:10 10.368 mscornet.exe
03.09.2005 20:44 311.296 WinNB57.dll

02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log
13.08.2005 21:46 16.832 amcompat.tlb
13.08.2005 21:46 23.392 nscompat.tlb
13.08.2005 21:36 106.216 FNTCACHE.DAT
02.06.2005 15:34 245.408 unicows.dll
13.04.2005 02:48 127.078 javaws.exe
13.04.2005 02:48 49.265 jpicpl32.cpl
13.04.2005 01:20 49.250 javaw.exe
13.04.2005 01:19 49.248 java.exe
30.03.2005 16:26 100.352 dfrg.msc
11.03.2005 23:48 108.544 pxcpyi64.exe
11.03.2005 23:48 56.320 pxinsa64.exe
11.03.2005 23:48 56.832 pxcpya64.exe
11.03.2005 23:48 61.440 pxhpinst.exe
11.03.2005 23:48 109.568 pxinsi64.exe
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 151.552 pxwma.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 405.504 pxdrv.dll
11.03.2005 23:28 339.968 px.dll
12.02.2005 17:35 16.826 brdiag.GID
27.01.2005 14:39 466.944 capicom.dll

2. Datfindbat-Log

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

10.11.2005 21:45 3.421 hijackthis.log
10.11.2005 21:28 16.384 ~DF7F91.tmp
06.11.2005 20:02 59.392 KillBox.exe
16.02.2005 11:06 218.112 HijackThis.exe
4 Datei(en) 297.309 Bytes
0 Verzeichnis(se), 378.601.472 Bytes frei

3. Datfindbat-Log


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\WINNT

08.11.2005 20:41 32.592 SchedLgU.Txt
06.11.2005 13:58 1.286.138 ShellIconCache
06.11.2005 13:43 147 winamp.ini
03.09.2005 20:42 6.036 switchagreement.txt
03.09.2005 20:42 1 imsins_.bin
03.09.2005 10:12 27 stwin04.ini
03.09.2005 10:12 59 d2hnav.ini
03.09.2005 10:10 296 BRDIAG.INI
03.09.2005 10:10 11 BRVIDEO.INI
03.09.2005 10:10 12 Brownie.ini
03.09.2005 10:10 12 BRPP2KA.INI
13.08.2005 21:35 231 system.ini
05.08.2005 19:24 1.287 ModemDet.txt
30.07.2005 14:48 23.111 ModemLog_MicroLink 56k Fun .txt
05.05.2005 07:09 3.188 tm.ini
20.04.2005 20:02 35 tdf.dii
12.02.2005 17:39 453 BRWMARK.INI
12.02.2005 14:58 40 opt_1430.ini
12.02.2005 14:51 0 brmx2001.ini
12.02.2005 14:51 0 BROHL143.INI


4. Datfindbat-Log


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\

10.11.2005 22:02 0 sys.txt
10.11.2005 22:01 4.111 system.txt
10.11.2005 22:00 465 systemtemp.txt
10.11.2005 21:59 81.859 system32.txt
10.11.2005 21:19 402.247.680 hiberfil.sys
10.11.2005 21:18 201.326.592 pagefile.sys
07.11.2005 20:51 2 AVPCallback.log
06.11.2005 19:08 0 23990098.$$$
03.10.2005 18:03 2.855.080 aawsepersonal.exe
29.09.2005 10:17 895.488 iview397.exe
26.08.2005 21:55 692.224 StubInstaller.exe
Dieser Beitrag wurde am 10.11.2005 um 21:54 Uhr von Tina02 editiert.
Seitenanfang Seitenende
11.11.2005, 00:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Tina02

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wininet.dll"=-
"kernel32.dll"=-
"nvctrl.exe"=-

---------------------------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\ncompat.tlb
C:\Programme\Security Toolbar\Security Toolbar.dll
C:\WINNT\system32\msvol.tlb
C:\WINNT\system32\hp26D6.tmp
C:\WINNT\system32\ld1A98.tmp
C:\WINNT\system32\ot.ico
C:\WINNT\system32\ts.ico
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\mscornet.exe
C:\WINNT\system32\WinNB57.dll
C:\WINNT\switchagreement.txt
C:\WINNT\system32\TFTP2328
C:\StubInstaller.exe

PC neustarten


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

loesche:
C:\Programme\Security Toolbar

------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINNT\System32\hp32CE.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll


smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2005, 07:14
Member

Themenstarter

Beiträge: 12
#9 @ Sabina

wenn ich die dateien in die killbox eintrage und auf das rote kreut drücke, passiert gar nichts. ich werde nicht gefragt: "Do you want to reboot?"

Was mache ich falsch?



Und kannst Du mir bitte sagen, was "der Registry beifügen" bedeutet? Was genau muss ich da machen?

LG,
Tina
Seitenanfang Seitenende
11.11.2005, 10:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 wenn bei der Killbox nichts gefragt wird, dann arbeite dennoch alles ab--> alle genannten Dateien reinkopieren und jedesmal das rote Kreuz klicken, nach der letzten starte du den PC neu.

der Registry beifuegen bedeutet: du wirst nach anklicken der reg-Datei gefragt, ob sie der Registry beigefuegt werden soll: ja/nein....klicke " ja"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2005, 21:04
Member

Themenstarter

Beiträge: 12
#11 @ Sabina,

ich habe alles ausgeführt, nur beim smitRem TOOL konnte ich keine RunThis.bat Datei finden.

Ich habe hier noch mal meine Datfind.bat Logs und das Log vom Silentrunner gepostet.

Kannst Du mir sagen, ob ich noch was machen muss?

LG,
Tina

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\WINNT\system32

12.11.2005 11:38 98.304 svchosts.dll
02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log
13.08.2005 21:46 16.832 amcompat.tlb
13.08.2005 21:46 23.392 nscompat.tlb
13.08.2005 21:36 106.216 FNTCACHE.DAT
02.06.2005 15:34 245.408 unicows.dll
13.04.2005 02:48 127.078 javaws.exe
13.04.2005 02:48 49.265 jpicpl32.cpl
13.04.2005 01:20 49.250 javaw.exe
13.04.2005 01:19 49.248 java.exe
30.03.2005 16:26 100.352 dfrg.msc
11.03.2005 23:48 108.544 pxcpyi64.exe
11.03.2005 23:48 109.568 pxinsi64.exe
11.03.2005 23:48 56.320 pxinsa64.exe
11.03.2005 23:48 61.440 pxhpinst.exe
11.03.2005 23:48 56.832 pxcpya64.exe
11.03.2005 23:28 151.552 pxwma.dll
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 405.504 pxdrv.dll
11.03.2005 23:28 339.968 px.dll
12.02.2005 17:35 16.826 brdiag.GID
27.01.2005 14:39 466.944 capicom.dll

atentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

12.11.2005 20:53 16.384 ~DFA985.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 387.186.688 Bytes frei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\WINNT

12.11.2005 20:50 32.592 SchedLgU.Txt
12.11.2005 20:44 465.002 ShellIconCache
12.11.2005 20:42 147 winamp.ini
03.09.2005 20:42 1 imsins_.bin
03.09.2005 10:12 27 stwin04.ini
03.09.2005 10:12 59 d2hnav.ini
03.09.2005 10:10 11 BRVIDEO.INI
03.09.2005 10:10 296 BRDIAG.INI
03.09.2005 10:10 12 Brownie.ini
03.09.2005 10:10 12 BRPP2KA.INI
13.08.2005 21:35 231 system.ini
05.08.2005 19:24 1.287 ModemDet.txt
30.07.2005 14:48 23.111 ModemLog_MicroLink 56k Fun .txt
05.05.2005 07:09 3.188 tm.ini
20.04.2005 20:02 35 tdf.dii
12.02.2005 17:39 453 BRWMARK.INI
12.02.2005 14:58 40 opt_1430.ini
12.02.2005 14:51 0 brmx2001.ini
12.02.2005 14:51 0 BROHL143.INI

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: E0F9-B320

Verzeichnis von C:\

12.11.2005 21:03 0 sys.txt
12.11.2005 21:03 4.051 system.txt
12.11.2005 21:03 303 systemtemp.txt
12.11.2005 21:00 81.353 system32.txt
12.11.2005 20:51 402.247.680 hiberfil.sys
12.11.2005 20:51 201.326.592 pagefile.sys
12.11.2005 17:51 1.001 smitfiles.txt
07.11.2005 20:51 2 AVPCallback.log
06.11.2005 19:08 0 23990098.$$$
03.10.2005 18:03 2.855.080 aawsepersonal.exe
29.09.2005 10:17 895.488 iview397.exe
08.10.2004 16:03 0 AILog.txt
07.11.2003 10:40 215.904 ntldr
07.11.2003 10:40 34.468 NTDETECT.COM
28.10.2003 19:58 0 CONFIG.SYS
28.10.2003 19:58 0 MSDOS.SYS
28.10.2003 19:58 0 AUTOEXEC.BAT
28.10.2003 19:58 0 IO.SYS
28.10.2003 19:52 192 boot.ini
24.06.2003 11:52 4.245 __ofidx.ffa
19.11.2000 20:49 3.072.671 397ger.exe
21 Datei(en) 610.739.030 Bytes
0 Verzeichnis(se), 387.190.784 Bytes frei

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"Arcor Online" = (empty string)
"SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."]
"SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [file not found]
"AVGCtrl" = ""D:\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Arcor Online" = (empty string)
"WinampAgent" = ""D:\Winamp\Winampa.exe"" [null data]
"Synchronization Manager" = "mobsync.exe /logon" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Christina" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"WinZip Quick Pick" -> shortcut to: "C:\Programme\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc. and H.C. Top Systems B.V."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

"{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}\ = "SecurityToolbar"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [file not found]


Miscellaneous IE Hijack Points
------------------------------

C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""D:\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""D:\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S400\Driver = "CNMLM2P.DLL" ["CANON INC."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 51 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 43 seconds.
---------- (total run time: 209 seconds)
Seitenanfang Seitenende
12.11.2005, 22:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 loesche mit der killbox:
C:\WINNT\system32\svchosts.dll

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.11.2005, 10:11
Member

Themenstarter

Beiträge: 12
#13 Hallo Sabina,

hier ist der Scanreport.

Liebe Grüße,
Tina






Incident Status Location

Virus:W32/Smitfraud.D Disinfected Operating system
Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
Adware:adware/securityerror No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\Online Security Center.url
Dialer:dialer.baj No disinfected C:\WINNT\DOWNLOADED PROGRAM FILES\eied.inf
Adware:adware/mirar No disinfected C:\WINNT\DOWNLOADED PROGRAM FILES\MirarSetup.exe
Dialer:dialer.xd No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD\SYSTEMCHECK2
Adware:Adware/SecurityError No disinfected C:\!KillBox\mscornet.exe
Adware:Adware/SecurityError No disinfected C:\!KillBox\mssearchnet.exe
Virus:Trj/Downloader.FQL No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied_s7_c_26.exe]
Adware:Adware/MediaTickets No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied.inf]
Adware:Adware/SecurityError No disinfected C:\escheck\ECBackup\mssearchnet.exe.bkp.bkp
Adware:Adware/MediaTickets No disinfected C:\WINNT\Downloaded Program Files\eied.inf
Adware:Adware/Mirar No disinfected C:\WINNT\Downloaded Program Files\MirarSetup.exe
Dialer;)ialer.ABR No disinfected C:\WINNT\Downloaded Program Files\start26.inf
Adware:Adware/SpyAxe No disinfected C:\WINNT\system32\1024\ld400E.tmp
Virus:W32/Smitfraud.D Disinfected C:\WINNT\system32\wininet.dll
Adware:Adware/Mirar No disinfected D:\Lokale Einstellungen\Temp\MirarSetup.exe
Seitenanfang Seitenende
13.11.2005, 13:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 gehe in die registry

start-->Ausfeuhren--> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD\SYSTEMCHECK2
<--loeschen

schliesse die Registry

loesche:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\!KillBox

loesche mit der Killbox:
C:\WINNT\DOWNLOADED PROGRAM FILES\eied.inf
C:\WINNT\DOWNLOADED PROGRAM FILES\MirarSetup.exe
D:\Lokale Einstellungen\Temp\MirarSetup.exe
C:\WINNT\Downloaded Program Files\start26.inf
C:\WINNT\system32\1024\ld400E.tmp

PC neustarten

loesche:
C:\WINNT\system32\1024

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread



dann scanne noch mal mit Panda ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.11.2005, 19:26
Member

Themenstarter

Beiträge: 12
#15 Hallo Sabina,

hier mein Panda-Log. Aber ich weiß nicht, wo ich die SmitRem Texdatei finde.

Kannst Du mir noch mal helfen? Danke!


Tina


Incident Status Location

Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\Christina\Favoriten\Free XXX Sites List.url
Adware:adware/mirar No disinfected Windows Registry
Virus:Trj/Downloader.FQL No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied_s7_c_26.exe]
Adware:Adware/MediaTickets No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied.inf]
Adware:Adware/SecurityError No disinfected C:\escheck\ECBackup\mssearchnet.exe.bkp.bkp
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: