Your Computer is infected!

#0
23.11.2005, 00:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo@Brummi

poste die 4 Textdateien
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
http://virus-protect.org/datfindbat.html

poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 01:24
...neu hier

Beiträge: 4
#17 Textdatei 1
Textdatei 2
Textdatei 3
Textdatei 4

Silentrunner Log

HJT-Log

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 01:20:58, on 23.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\eizhsce.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\xyjpiv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINNT\Mixer.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\CoolWallpaper\cwallpaper.exe
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\lvvavdp.exe
D:\Programme\Skype\Phone\Skype.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
D:\Programme\Azureus111\Azureus.exe
C:\Programme\Java\jre1.5.0_04\bin\javaw.exe
D:\Programme\Opera\Opera.exe
D:\Programme\FileZilla\FileZilla.exe
C:\Dokumente und Einstellungen\Alex\Desktop\HijackThis.exe

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programme\SurfSideKick 3\SskBho.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll
O2 - BHO: ohb Class - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINNT\system32\trgen.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINNT\system32\pkshnogd.dll
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINNT\system32\nsk222.dll
O2 - BHO: TalMgr Class - {70230839-555C-4862-8D42-BB1E2352502C} - C:\WINNT\system32\italeohu.dll
O2 - BHO: ohb Class - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\rtneg3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CoolPaperManager] D:\Programme\CoolWallpaper\cwallpaper.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [Ad-aware] "D:\Programme\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [lvvavdp] C:\WINNT\lvvavdp.exe
O4 - HKLM\..\Run: [kmclpph] C:\WINNT\system32\xyjpiv.exe r
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6BE796C-2E28-4D1D-BD8A-77BEEB6CE495}: NameServer = 192.168.122.252,192.168.122.253
O20 - AppInit_DLLs: repairs302972961.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINNT\eizhsce.exe

Ich hatte schon gedacht ich hätte das teil gekillt, weil das icon nimmer in der systray ist, aber die datei kam wieder und der desktop zeigt weiterhin das dumme ding da an ;)

danke für deine hilfe, sabina

ich hoffe du kannst mir helfen das ding zu eliminieren.

LG Brummi

P.S.: Den anderen Thread dann bitte löschen ^^[/url]
Seitenanfang Seitenende
23.11.2005, 12:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" ---loeschen

Start-->Ausfuehren--> cmd

reinkopieren:

C:\Program Files\SurfSideKick 3\Ssk.exe /u

enter klicken

PC neustarten



KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\lvvavdp.exe
C:\WINNT\smdat32m.sys
C:\Programme\SurfSideKick 3\SskBho.dll
C:\Programme\SurfSideKick 3\Ssk.exe
C:\Programme\SurfSideKick 3\SskCore.dll
C:\WINNT\system32\vbrundll.dll
C:\WINNT\system32\trgen.dll
C:\WINNT\system32\pkshnogd.dll
C:\WINNT\system32\nsk222.dll
C:\WINNT\system32\italeohu.dll
C:\WINNT\system32\rtneg3.dll
C:\WINNT\system32\regsync.exe
C:\WINNT\eizhsce.exe

C:\WINNT\system32\drpmon.dll
C:\WINNT\system32\jd99vfqm.html
C:\WINNT\system32\786pb6fm.ini
C:\WINNT\system32\paytime.exe
C:\WINNT\system32\repairs302972961.dll
C:\WINNT\system32\bk.exe
C:\WINNT\system32\baseball.ico
C:\WINNT\system32\xbox_round1.bmp
C:\WINNT\system32\kill all spyware4.ico
C:\WINNT\system32\dice21.ico
C:\WINNT\system32\poker11212.ico
C:\WINNT\system32\greenmovie2311.ico
C:\WINNT\system32\virushunter1231.ico
C:\WINNT\system32\tv1.ico
C:\WINNT\system32\creditcard32123123123asdsa12.ico
C:\WINNT\system32\ringtone21.ico
C:\WINNT\system32\sony psp1.ico
C:\WINNT\system32\xboxab.ico
C:\WINNT\system32\eq02e44c.dat
C:\WINNT\system32\c3n2md0g.dat
C:\WINNT\system32\gh816q99.dat
C:\WINNT\system32\nso419.dll
C:\WINNT\system32\nsu1C6.dll
C:\WINNT\system32\nsq1C5.dll
C:\WINNT\system32\nsq49.dll
C:\WINNT\system32\nsk222.dll
C:\WINNT\system32\nsi1CF.dll
C:\WINNT\system32\nahbluff.exe
C:\WINNT\system32\ichckupd.exe
C:\WINNT\system32\italrqox.dll
C:\WINNT\system32\italeohu.dll
C:\WINNT\system32\italurqs.dll
C:\WINNT\system32\italgeao.dll
C:\WINNT\system32\pdrpdb.dll
C:\WINNT\system32\SSK3_B5.exe
C:\WINNT\system32\bho.dll
C:\WINNT\system32\pop up blaster12321312.ico
C:\WINNT\system32\norisuni.exe
C:\WINNT\system32\pshwr.exe
C:\WINNT\system32\pkshabnc.dll
C:\WINNT\system32\pkshnogd.dll
C:\WINNT\system32\pkshwkdb.dll
C:\WINNT\system32\netlanm.dll
C:\WINNT\system32\pkshvxeg.dll
C:\WINNT\system32\pkshlxdc.dll
C:\WINNT\system32\school.ico
C:\WINNT\system32\lanbruns.exe
C:\WINNT\system32\lanbrup.exe
C:\WINNT\system32\nujgyopc.dll
C:\WINNT\system32\ctsfywwm.dll
C:\WINNT\system32\sjdxarkk.dll
C:\WINNT\system32\wirelanb.dll

C:\DOKUME~1\Alex\LOKALE~1\Temp\PerfectNavBHOLog.tmp
C:\DOKUME~1\Alex\LOKALE~1\Temp\dayst.dat
C:\DOKUME~1\Alex\LOKALE~1\Temp\uDA.bat
C:\DOKUME~1\Alex\LOKALE~1\Temp\1.exe
C:\DOKUME~1\Alex\LOKALE~1\Temp\b2search_v17.exe
C:\DOKUME~1\Alex\LOKALE~1\Temp\s1v4.8.exe

C:\WINNT\CoolWall.bmp
C:\WINNT\hosts
C:\WINNT\secure32.html
C:\WINNT\desktop.html
C:\WINNT\tool2.exe
C:\WINNT\kl.exe
C:\WINNT\uniq

C:\WINNT\system32\xyjpiv.exe
C:\WINNT\isf.dat
C:\WINNT\uid32.key
C:\WINNT\wocnm.dat
C:\WINNT\offnm.ini
C:\WINNT\offnm.dat

PC neustarten


loeschen:
C:\Programme\SurfSideKick 3

C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Ssk.log
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Sskcwrd.dll
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Sskknwrd.dll

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als klick.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Info: SurfSideKick3
http://virus-protect.org/artikel/spyware/surfsidekick.html
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "klick.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

Zitat

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{000AB0005-FF12-42C2-8DF5-39E12E5F9C91}]
[-HKEY_CLASSES_ROOT\CLSID\{02EE5B04-F144-47BB-83FB-A60BD91B74A9}]
[-HKEY_CLASSES_ROOT\CLSID\{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Surf Sidekick]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Surf Sidekick_is1]
[-HKEY_CURRENT_USER\Software\SurfSideKick2]
[-HKEY_CURRENT_USER\Software\SurfSideKick3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SurfSideKick3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{02EE5B04-F144-47BB-83FB-A60BD91B74A9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{000AB005-FF12-42C2-8DF5-39E12E5F9C91}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{02EE5B04-F144-47BB-83FB-A60BD91B74A9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=""
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

dann muss nur noch der Nail geloescht werden.

Oeffne den Editor und kopiere rein:

Zitat

@ECHO OFF
cd\winnt
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit
abspeichern als remove.bat 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. boote den PC in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt) und klicke die remove.bat

Zitat

mache folgendes:

RegSrch
ttp://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

SvcProc

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

Windows Overlay Components

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

----------------------------------------------------------------------------
----------------------------------------------------------------------------
Info : Windows Overlay Components"
http://virus-protect.org/artikel/dienste/windowsoverlaycomponents.html


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OvMon]
"DisplayName"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"Service"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"DeviceDesc"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000\Control]
"ActiveService"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components]
"DisplayName"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"Service"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"DeviceDesc"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Overlay Components]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Overlay Components]
"DisplayName"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Overlay Components\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"Service"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"DeviceDesc"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000\Control]
"ActiveService"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components]
"DisplayName"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components\Enum]





REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SvcProc" 29.10.2005 17:07:05

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Programme\SurfSideKick 3\SskBho.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll
O2 - BHO: ohb Class - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINNT\system32\trgen.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINNT\system32\pkshnogd.dll
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINNT\system32\nsk222.dll
O2 - BHO: TalMgr Class - {70230839-555C-4862-8D42-BB1E2352502C} - C:\WINNT\system32\italeohu.dll
O2 - BHO: ohb Class - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\rtneg3.dll

O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe
O4 - HKLM\..\Run: [lvvavdp] C:\WINNT\lvvavdp.exe
O4 - HKLM\..\Run: [kmclpph] C:\WINNT\system32\xyjpiv.exe r
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Programme\SurfSideKick 3\Ssk.exe

O20 - AppInit_DLLs: repairs302972961.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINNT\eizhsce.exe

neustarten

wende Cleanup an (die temporaren Dateien muessen leer sein)-->C:\DOKUME~1\Alex\LOKALE~1\Temp\
http://virus-protect.org/cleanup.html

--------------------------------------------------------------------------------------------

FindIt's
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
Anleitung:
http://virus-protect.org/artikel/tools/FindIts.html

1. Entpacken und auf dem Desktop speichern
2. öffnen und doppelklicken: FindIt's.bat -- warte, bis der Editor sich öffnet -- text file. (hab Geduld, es kann eine Weile dauern) ...
3. Poste bitte die txt vom Scann in den Thread im Forum
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 12:38
...neu hier

Beiträge: 4
#19 huppala ^^
da liegt ja einiges im argen...
ich mach mich dann gleich mal daheim daran zu schaffen.
danke schonmal für die mühe und die schnelle antwort
ich melde mich dann bestimmt noch ^^
Seitenanfang Seitenende
23.11.2005, 12:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 da sind drei oder vier verschiedene Verseuchungen drauf---> vernuenftiger waere, zu formatieren......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 18:19
...neu hier

Beiträge: 4
#21 Hatte ich eh vor. Wahrscheinlich in so 2-3 Wochen.
Aber bis dahin sollte das Schei... halt runter.

was noch über ist:

Zitat

Microsoft Windows 2000 [Version 5.00.2195]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first


»»»»» lagitamate file's can/will show in this section.

»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

Nail.exe
»»»»» Checking for System32\DrPMon.dll.

DrPMon.dll
»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 304C-389F

Verzeichnis von C:\WINNT\SYSTEM32

21.03.2005 01:50 <DIR> cache32_rtneg2
19.11.2005 11:40 <DIR> cache32_rtneg3
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 217.174.016 Bytes frei
»»»»» Checking for SAHAgent ico files.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 304C-389F

Verzeichnis von C:\WINNT\system32

21.03.2005 01:49 2.998 bball.ico
22.04.2005 12:48 3.262 bingo_big2.ico
26.07.2005 23:52 3.262 bose1.ico
16.03.2005 18:37 3.262 conver radio 32x32-21.ico
11.07.2005 12:23 3.262 creditcard32123123123asdsa.ico
27.03.2005 04:42 4.286 greenmovie2313asaadsasfad.ico
05.06.2005 23:26 4.286 greenmovie2313asaadsasfad112341231adsfa.ico
11.07.2005 12:23 4.286 greenmovie2313asaadsasfad112341231adsfa11.ico
19.05.2005 22:26 3.262 hotbod.ico
27.03.2005 04:42 2.526 ibm laptop31.ico
29.03.2005 18:09 2.526 ibmlaptop12312a.ico
19.05.2005 22:26 3.262 ico_bikini49_gif_32x32.ico
21.03.2005 01:49 3.262 kas pink1233a1.ico
29.03.2005 18:09 3.262 kas pink1233aadsfa1.ico
15.03.2005 17:51 3.262 kas4c1.ico
07.06.2005 21:49 3.262 kill all spyware4512.ico
17.03.2005 01:05 4.286 kill all spywareadsfadsf1.ico
11.07.2005 12:23 4.286 kill all spywareadsfadsf123.ico
05.06.2005 23:26 4.286 kill internet popups5.ico
28.04.2005 10:56 3.262 kill popups.ico
28.04.2005 10:56 3.262 kill spyware12.ico
29.03.2005 18:09 3.262 killinternetpopups-33123213.ico
21.03.2005 01:49 4.286 moviescirc2.ico
21.03.2005 01:49 4.286 mp3 players4salea.ico
07.06.2005 21:49 4.286 mp3red51aads.ico
19.05.2005 22:26 16.614 popupblocker31.ico
19.05.2005 22:26 2.238 red_kas21.ico
08.07.2005 11:43 3.262 ringtone31.ico
07.06.2005 21:49 3.262 vh e233.ico
27.03.2005 04:42 3.262 vh e2331.ico
21.03.2005 01:49 19.942 virus hunter yeah1.ico
05.06.2005 23:26 3.262 xbox3.ico
07.06.2005 21:49 3.262 xbox31.ico
33 Datei(en) 144.134 Bytes
0 Verzeichnis(se), 217.174.016 Bytes frei

»»»»»»»»»»»»»»»»»»»»»»»».

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 18:14:40, on 23.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\gyyoux.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINNT\Mixer.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\CoolWallpaper\cwallpaper.exe
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Skype\Phone\Skype.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\explorer.exe
D:\PROGRA~1\FIREFOX\FIREFOX.EXE
D:\PROGRA~1\WinZip\winzip32.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\system32\notepad.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Dokumente und Einstellungen\Alex\Desktop\Safety\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CoolPaperManager] D:\Programme\CoolWallpaper\cwallpaper.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [Ad-aware] "D:\Programme\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [cezfvm] C:\WINNT\system32\gyyoux.exe r
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6BE796C-2E28-4D1D-BD8A-77BEEB6CE495}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

Das KillBox war komisch. das hat mich nie nach dem neustart gefragt...
is das normal?
nich dass das nachher nix geholfen hat.
aber das "infected"-gedöns is weg.
nail scheint noch da zu sein
vielen lieben dank trotzdem
*knuddel*
Seitenanfang Seitenende
23.11.2005, 18:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Laden und auf dem Desktop speichern
Downloade den Remover (angehängt) und speichere ihn auf deinem Desktop
2.
Downloade (wenn nicht schon passiert) die neueste Hijackthis Version und entpacke sie in ihren eigene Ordner

ABIremover.zip (57,2 KB)
http://andymanchesta.com/Downloads/ABIremover.zip
http://forum.hijackthis.de/showthread.php?t=3172

Start-->Ausfuehren--> regedit

Bearbeiten--> suchen--> SvcProc

Sollte man Probleme haben, die Einträge zu löschen
Klicke auf Bearbeiten--Berechtigung und klicke dann auf Vollzugriff --[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc

Bearbeiten--> suchen--> Windows Overlay

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OvMon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Overlay Components]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components]

loesche mit der Killbox:

C:\WINNT\SYSTEM32\cache32_rtneg2
C:\WINNT\SYSTEM32\cache32_rtneg3
C:\WINNT\System32\DrPMon.dll
C:\WINNT\system32\bball.ico
C:\WINNT\system32\bingo_big2.ico
C:\WINNT\system32\bose1.ico
C:\WINNT\system32\conver radio 32x32-21.ico
C:\WINNT\system32\creditcard32123123123asdsa.ico
C:\WINNT\system32\greenmovie2313asaadsasfad.ico
C:\WINNT\system32\greenmovie2313asaadsasfad112341231adsfa.ico
C:\WINNT\system32\greenmovie2313asaadsasfad112341231adsfa11.ico
C:\WINNT\system32\hotbod.ico
C:\WINNT\system32\ibm laptop31.ico
C:\WINNT\system32\ibmlaptop12312a.ico
C:\WINNT\system32\ico_bikini49_gif_32x32.ico
C:\WINNT\system32\kas pink1233a1.ico
C:\WINNT\system32\kas pink1233aadsfa1.ico
C:\WINNT\system32\kas4c1.ico
C:\WINNT\system32\kill all spyware4512.ico
C:\WINNT\system32\kill all spywareadsfadsf1.ico
C:\WINNT\system32\kill all spywareadsfadsf123.ico
C:\WINNT\system32\kill internet popups5.ico
C:\WINNT\system32\kill popups.ico
C:\WINNT\system32\kill spyware12.ico
C:\WINNT\system32\killinternetpopups-33123213.ico
C:\WINNT\system32\moviescirc2.ico
C:\WINNT\system32\mp3 players4salea.ico
C:\WINNT\system32\mp3red51aads.ico
C:\WINNT\system32\popupblocker31.ico
C:\WINNT\system32\red_kas21.ico
C:\WINNT\system32\ringtone31.ico
C:\WINNT\system32\vh e233.ico
C:\WINNT\system32\vh e2331.ico
C:\WINNT\system32\virus hunter yeah1.ico
C:\WINNT\system32\xbox3.ico
C:\WINNT\system32\xbox31.ico
C:\WINNT\Nail.exe

PC neustarten--> in den abgsicherten Modus

Starte den ABIRemover.exe, drücke install, warte (explorer fenster verschwindet kurz)
5.
starte direkt neu und erneut in den abgesicherten Modus

6.
Fixe mit Hijackthis

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O4 - HKLM\..\Run: [cezfvm] C:\WINNT\system32\gyyoux.exe r
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

Notiere den Zufallsnamen (im Beispiel gyyoux.exe) und lösche die Datei in deinem System32 Ordner. -> C:\WINNT\system32\gyyoux.exe

boote wieder in den Normalmodus

scanne mit Panda und poste den scanreport

http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.01.2006, 07:00
...neu hier

Beiträge: 2
#23 hallo,

habe das gleiche problem wie alle hier mit der "your computer is infected!"-meldung und kriege es leider nicht mit den vorhandenen lösungen in den griff. wisst ihr rat? mache solche technischen dinge zum ersten mal... :-)

vielen dank & liebe grüße, steffen


hier die logs vom datfindbat:

C:\WINDOWS\system32

03.01.2006 06:49 5.084 ncompat.tlb
03.01.2006 05:21 5.632 msvol.tlb
03.01.2006 05:21 10.000 hp8666.tmp
03.01.2006 05:21 24.064 ld85E9.tmp
03.01.2006 04:30 16 wpfb.dat
03.01.2006 04:02 102.400 wbeconm.dll
03.01.2006 04:02 4.286 ot.ico
03.01.2006 04:02 4.286 ts.ico
03.01.2006 04:02 9.796 mssearchnet.exe
03.01.2006 04:02 15.712 nvctrl.exe
03.01.2006 04:00 14.660 mscornet.exe

02.01.2006 23:25 2.206 wpa.dbl
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
09.11.2005 23:20 302.032 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
30.10.2005 20:36 314.508 perfh009.dat
30.10.2005 20:36 320.094 perfh007.dat
30.10.2005 20:36 40.836 perfc009.dat
30.10.2005 20:36 49.174 perfc007.dat
30.10.2005 20:36 732.342 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll


C:\DOKUME~1\Steffen\LOKALE~1\Temp

03.01.2006 06:42 2.602.431 sa69.exe
03.01.2006 06:41 0 sa69.tmp

03.01.2006 06:30 59.281 MWAV.LOG
03.01.2006 06:30 782 mwXface.log
03.01.2006 06:30 264 vlist.log
03.01.2006 06:30 2.816.881 vlist.txt
03.01.2006 06:29 0 license.lck
03.01.2006 06:28 241.664 MYDB.DLL
03.01.2006 06:01 2.602.431 sa7.exe
03.01.2006 06:01 0 sa7.tmp

31.12.2005 10:42 120 0FD1A8EB.TMP
26.12.2005 17:43 377.408 mwavscan.com


C:\WINDOWS

03.01.2006 06:29 0 Lic.xxx
03.01.2006 06:13 1.749.787 WindowsUpdate.log
03.01.2006 05:21 159 wiadebug.log
03.01.2006 05:21 50 wiaservc.log
03.01.2006 05:21 2.048 bootstat.dat
03.01.2006 05:20 32.618 SchedLgU.Txt
03.01.2006 04:30 51 iTouch.ini
18.12.2005 05:24 116 NeroDigital.ini
01.12.2005 00:51 3.644 ModemLog_Smart Link 56K Voice Modem.txt
16.11.2005 02:04 2.149 cdplayer.ini
01.07.2005 10:23 1.582 wincmd.ini
01.07.2005 10:15 1.061.669 setupapi.log.0.old
01.07.2005 09:14 16 wininit.ini

C:\

03.01.2006 06:56 0 sys.txt
03.01.2006 06:55 4.473 system.txt
03.01.2006 06:54 11.729 systemtemp.txt
03.01.2006 06:50 99.158 system32.txt
03.01.2006 06:30 4 AVPCallback.log
03.01.2006 05:21 402.653.184 pagefile.sys
24.11.2005 15:44 2.050.860 HuskyInstallerLog.txt
06.08.2005 11:41 1.120 INSTALL.LOG
24.12.2004 06:35 0 DBS.TXT
07.10.2004 16:54 0 itouch_config_crash_info.txt
07.10.2004 16:53 0 itouch_crash_info.txt
06.10.2004 05:20 210 boot.ini
06.10.2004 05:15 47.564 NTDETECT.COM
06.10.2004 05:15 251.184 ntldr


Und hier das Logfile of HijackThis v1.99.1

Scan saved at 06:58:11, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Steffen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp8666.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B755E24-EF51-4AD4-8E88-6835719B88C2}: NameServer = 213.191.92.84 213.191.74.12
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Seitenanfang Seitenende
03.01.2006, 15:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 rotherbaum77

C:\WINDOWS\system32\wpfb.dat --> rechtsklick--> oeffnen mit dem Editor--> kopiere hier den textinhalt

--------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

--------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp8666.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp8666.tmp
C:\WINDOWS\system32\ld85E9.tmp
C:\WINDOWS\system32\wpfb.dat
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico

C:\DOKUME~1\Steffen\LOKALE~1\Temp\sa69.exe
C:\DOKUME~1\Steffen\LOKALE~1\Temp\sa69.tmp
C:\DOKUME~1\Steffen\LOKALE~1\Temp\license.lck
C:\DOKUME~1\Steffen\LOKALE~1\Temp\sa7.exe
C:\DOKUME~1\Steffen\LOKALE~1\Temp\sa7.tmp

C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

---------------------------------------------------------------

C:\Programme\SpyAxe <--loeschen

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html


SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2006, 05:23
...neu hier

Beiträge: 2
#25 Hallo Sabrina,

vielen Dank für deine schnelle Antwort und super Hilfe - ich habe alle von dir empfohlenen Schritte durchgeführt und ziemlich viele Viren vom Rechner entfernt. Jetzt ist alles wieder okay.

Viele Grüße, Steffen
Seitenanfang Seitenende
04.01.2006, 09:08
Member
Avatar Yourhighness

Beiträge: 279
#26 Hi,

Bitte machen worum Sabina gebeten hat. Du kannst Dir erst dann sicher sein, das alles ok ist, wenn Sie es Dir sagt ;)

Zitat

C:\WINDOWS\system32\wpfb.dat --> rechtsklick--> oeffnen mit dem Editor--> kopiere hier den textinhalt

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
--> poste hier noch bitte den Report...
Danke & MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: