Warning! Your computer might be infected!

#1 Guten Tag!
Blicke als Anfänger nicht durch die - umfangreiche - Korrespondenz zu diesem Thema, muss es deshalb neu anfragen. Sorry!

Falls die Lösung bereits irgendwo steht, gebt mir bitte den Tipp, wo ich nachlesen muss.

Vielen Dank!

Hier mal die hijackthis.logfile
Was soll ich mit den "Bösen" tun?

Logfile of HijackThis v1.99.1
Scan saved at 15:10:05, on 18.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\Hcontrol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\OpiStat\OpiStat\OpiStat.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ATKOSD.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Dieter Hellmann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpFAFC.tmp (file missing)
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [OpiStat] C:\Programme\OpiStat\OpiStat\OpiStat.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_3 -reboot 1
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{97926DDC-A867-4392-ABCD-61E3BA249265}: NameServer = 195.71.204.61 193.189.244.205
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

#2 Hallo@didibonn

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere bitte hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

hier die angefragten Dateien:

DatFind findet:

1)
Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 60DB-C2B2

Verzeichnis von C:\WINDOWS\system32

20.11.2005 16:26 344 ncompat.tlb
20.11.2005 14:51 4.608 msvol.tlb
20.11.2005 14:49 2.184 wpa.dbl
01.11.2005 13:40 311.938 perfh009.dat
01.11.2005 13:40 40.326 perfc009.dat
01.11.2005 13:40 317.168 perfh007.dat
01.11.2005 13:40 48.552 perfc007.dat
01.11.2005 13:40 723.744 PerfStringBackup.INI
25.10.2005 12:11 15.360 ldFFFE.tmp
24.10.2005 22:50 36.864 intercept.dll
24.10.2005 22:10 8.972 mssearchnet.exe
24.10.2005 22:10 12.536 nvctrl.exe
26.05.2005 03:16 173.536 wuweb.dll
26.05.2005 03:16 1.343.768 wuaueng.dll
26.05.2005 03:16 41.240 wups.dll
26.05.2005 03:16 18.200 wups2.dll
26.05.2005 03:16 75.544 cdm.dll
26.05.2005 03:16 198.424 iuengine.dll
26.05.2005 03:16 124.696 wuauclt.exe
26.05.2005 03:16 174.872 wuauclt1.exe
26.05.2005 03:16 174.872 wuaucpl.cpl
26.05.2005 03:16 194.840 wuaueng1.dll
26.05.2005 03:16 128.280 wucltui.dll
26.05.2005 03:16 466.200 wuapi.dll

2)
Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 60DB-C2B2

Verzeichnis von C:\DOKUME~1\DIETER~1\LOKALE~1\Temp

3)
Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 60DB-C2B2

Verzeichnis von C:\WINDOWS

20.11.2005 15:00 15.544 ModemLog_ESS ES56CVM-PI Data Fax Voice Modem.txt
20.11.2005 14:54 2.055.858 WindowsUpdate.log
20.11.2005 14:49 50 wiaservc.log
20.11.2005 14:49 159 wiadebug.log
20.11.2005 14:49 2.048 bootstat.dat
18.11.2005 17:33 32.622 SchedLgU.Txt
24.10.2005 22:50 36.864 intercept.dll
24.10.2005 22:10 3.072 uninstIU.exe
24.10.2005 22:10 1.668 warnhp.html
23.10.2005 16:08 308 ChssBase.ini
12.10.2005 21:12 1.080 gramit32.cfg

4)
Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 60DB-C2B2

Verzeichnis von C:\

20.11.2005 16:27 0 sys.txt
20.11.2005 16:27 4.602 system.txt
20.11.2005 16:26 133 systemtemp.txt
20.11.2005 16:26 89.853 system32.txt
20.11.2005 14:49 267.964.416 hiberfil.sys
20.11.2005 14:49 402.653.184 pagefile.sys
26.08.2005 15:52 520 hpfr3420.xml
26.08.2005 15:52 134.493 hpfr3425.log


Silentrunner meint dazu:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [file not found]
"nvctrl.exe" = "nvctrl.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\system32\mssearchnet.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Hcontrol" = "C:\WINDOWS\Hcontrol.exe" ["ASUSTeK COMPUTER INC."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"OpiStat" = "C:\Programme\OpiStat\OpiStat\OpiStat.exe" ["NetRatings, Inc."]
"Norman ZANDA" = "C:\Norman\bin\ZLH.EXE /LOAD /SPLASH" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{3bf1f86f-b1a8-489b-8d8b-43781d51411f}\(Default) = "HomepageBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hpC61F.tmp" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshell.dll" ["RealNetworks, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
NVC\(Default) = "{D5507020-DB45-11d1-A5F0-00600872F78D}"
-> {CLSID}\InProcServer32\(Default) = "C:\Norman\Nvc\BIN\NVCSE.DLL" ["Norman Data Defense Systems"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
NVC\(Default) = "{D5507020-DB45-11d1-A5F0-00600872F78D}"
-> {CLSID}\InProcServer32\(Default) = "C:\Norman\Nvc\BIN\NVCSE.DLL" ["Norman Data Defense Systems"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
NVC\(Default) = "{D5507020-DB45-11d1-A5F0-00600872F78D}"
-> {CLSID}\InProcServer32\(Default) = "C:\Norman\Nvc\BIN\NVCSE.DLL" ["Norman Data Defense Systems"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Dieter Hellmann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Warning homepage"
"Source" = "C:\WINDOWS\warnhp.html"
"SubscribedURL" = ""


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmyst.scr" [MS]


Startup items in "Dieter Hellmann" & "All Users" startup folders:
-----------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Erinnerungen in Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"hp psc 1000 series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#hp psc 1200 series#1085672004" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1085672004"" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{014DA6C9-189F-421A-88CD-07CFE51CFF10}" = "My &Search Bar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MySearch\bar\1.bin\S4BAR.DLL" [file not found]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" [file not found]

"{014DA6C9-189F-421A-88CD-07CFE51CFF10}" = "My &Search Bar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MySearch\bar\1.bin\S4BAR.DLL" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [empty string]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\ = "Encarta &Recherche-Assistent" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Recherche-Assistent"


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.freenet.de

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

iPod Service, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Norman API-hooking helper, NipSvc, "C:\Norman\Nvc\BIN\nipsvc.exe" [null data]
Norman NJeeves, Norman NJeeves, "C:\Norman\bin\NJEEVES.EXE" [null data]
Norman Virus Control on-access component, nvcoas, "C:\Norman\Nvc\bin\nvcoas.exe" ["Norman ASA"]
Norman Virus Control Scheduler, NVCScheduler, "C:\Norman\Nvc\BIN\NVCSCHED.EXE" ["Norman Data Defense Systems"]
Norman ZANDA, Norman ZANDA, ""C:\Norman\Bin\Zanda.exe"" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i560\Driver = "CNMLM58.DLL" ["CANON INC."]
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 285 seconds, including 18 seconds for message boxes)


Hoffe, das ist in etwa das, was Du brauchst...
Vielen Dank und einen schönen Sonntag!
didibonn

#4 Hallo@didibonn

Information:C:\WINDOWS\warnhp.html
http://virus-protect.org/artikel/spyware/mscornet.html






öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpFAFC.tmp (file missing)
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

PC neustarten

(oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine mcor.reg auf dem Desktop)
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

-------------------------------------------------------------------------------
gehe in die registry
Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Warning homepage" <--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <---loeschen
"SubscribedURL" = ""

Killbox
http://virus-protect.org/killbox.html
Delete File on Reboot -- anhaken - reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll
C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll
C:\Programme\Gemeinsame Dateien\CMEII\GController.dll
C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll
C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll
C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE

C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

C:\WINDOWS\system32\ldFFFE.tmp
C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\intercept.dll
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\warnhp.html

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "mcor.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

loeschen:
C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\Gemeinsame Dateien\GMT

scanne mit Panda und poste den Scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina!

Herzlichen Glückwunsch zu mehr als 8000 Beiträgen...

Hier nun smitRem, gefolgt vom Panda-Bericht ... der mich nicht gerade beruhigt... insbesondere tauchen Dateien auf, die ich dachte, durch die killbox geschickt zu haben... zu blöd?!

Vielen Dank im Voraus...


smitRem:

smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key present!



Running LTDFix/PSGuard.com fix!



PSGuard.com key was successfully removed!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

mssearchnet.exe
oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll INFECTED!! Starting replacement procedure.


~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~



~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~ Upon completion ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~


~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~ Upon completion ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~


~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~ Upon completion ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~


Panda:


Incident Status Location

Adware:adware/securityerror Not desinfected C:\WINDOWS\system32\mssearchnet.exe
Adware:Adware/PsGuard Not desinfected C:\WINDOWS\System32\OLEEXT.dll
Adware:adware/securityerror Not desinfected C:\WINDOWS\SYSTEM32\mssearchnet.exe
Spyware:spyware/smitfraud Not desinfected C:\WINDOWS\SYSTEM32\oleext.dll
Adware:adware/gator Not desinfected C:\GatorPatch.log
Adware:adware/exact.searchbar Not desinfected Windows Registry
Adware:Adware/Gator Not desinfected C:\!KillBox\EGGCEngine.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\egIEEngine.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\EGIEProcess.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\EGNSEngine.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\GAppMgr.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\GController.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\GDwldEng.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\GIocl.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\GIoclClient.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\GObjs.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\GStoreServer.dll
Adware:Adware/Gator Not desinfected C:\!KillBox\Gtools.dll
Adware:Adware/PsGuard Not desinfected C:\!KillBox\uninstIU.exe
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Dieter Hellmann\.jpi_cache\jar\1.0\count1.jar-27a89f70-6f817fa2.zip[Dummy.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Dieter Hellmann\.jpi_cache\jar\1.0\count1.jar-6dbafeb-203957e8.zip[Dummy.class]
Dialerialer.Gen Not desinfected C:\WINDOWS\FastGame[fte-11120,1,1].exe
Dialerialer.DNL Not desinfected C:\WINDOWS\system32\1024\ld7C84.tmp
Adware:Adware/PsGuard Not desinfected C:\WINDOWS\system32\oleext.dll
Virus:W32/Smitfraud.D Disinfected C:\WINDOWS\system32\wininet.old
Virus:Exploit/iFrame Disinfected Lokale Ordner\Posteingang\Humor\...zum geiern.....[~0000001.~]
Virus:W32/Bugbear Disinfected Lokale Ordner\Posteingang\Humor\...zum geiern.....[image.scr]

#6 Danke fuer die Glueckwuensche...weder ich, noch andere haben es bisher bemerkt

loesche mit der Killbox:

C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\SYSTEM32\oleext.dll
C:\WINDOWS\FastGame[fte-11120,1,1].exe
C:\WINDOWS\system32\1024\ld7C84.tmp
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\GatorPatch.log

PC neustarten

C:\!KillBox <---leere alles in diesem Ordner

Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip

ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab und in den Thread vom Sicherheitsforum)

psguardrem.reg (klicken) und der Registry beifuegen

ewido (scanne und poste den scanreport)
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hatte es schon bemerkt,aber wir kriegen ja doch kein kaffee mit kuchen
und by the way i am infected to
__________
MfG Argus

#8 Mein lieber Arnold
Danke fuer die Glueckwuensche ...sehr zuenftig
Du bist uebrigens der einzige, von dem ich per Mail irgendwelche Dateien anklicke...du und raman (fast vergessen...ops )
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Leider wieder schnöde Computerei dazwischen...

Wann schläfst Du eigentlich mal??

Mit ewido habe ich das Problem, dass das log zu lang ist für den thread... Er hat ca. 5000 Dateien gefunden (und gesäubert).
Darunter fast ausschließlich das Verzeichnis HKLM\Software\Gator.com\Gator.
Die anderen poste ich mal...
Wenn Du den gesamten Gator-Kram auch benötigst, müßte ich den evtl. per Mail schicken...


Vielen Dank again!


Hier erstmal ClickThisBat:

Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........


Creating dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Hiving Dummy / Saving Dummyhive ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Deleting Dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Adding Dummyhive ...........

Deleting ShudderLTD/PSGuard.com ...........

Checking if ShudderLTD/PSGuard.com is still present ..........


Deleting leftovers in registry ..........

Leftovers deleted!



Und hier die ewido-Dateien, die sich etwas von den übrigen 4500 Gator.com-Verzeichnis-Dateien unterscheiden:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 02:25:51, 22.11.2005
+ Report-Checksumme: 2E8E54E2

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{014DA6C1-189F-421a-88CD-07CFE51CFF10} -> Spyware.eXact : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6C1-189F-421a-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6C2-189F-421a-88CD-07CFE51CFF10} -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6C2-189F-421a-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6C3-189F-421a-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6C5-189F-421a-88CD-07CFE51CFF10} -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6C5-189F-421a-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6CB-189F-421a-88CD-07CFE51CFF10} -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{014DA6CB-189F-421a-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{21FFB6C0-0DA1-11D5-A9D5-00500413153C} -> Spyware.Gator : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{014DA6C4-189F-421A-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{014DA6C6-189F-421A-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{014DA6CA-189F-421A-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{014DA6CC-189F-421A-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{014DA6C0-189F-421A-88CD-07CFE51CFF10} -> Spyware.BargainBuddy : Gesäubert mit Backup

und ferner:

HKLM\SOFTWARE\IntexusDial -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKU\S-1-5-21-682003330-1343024091-1060284298-1004\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Fehler beim Säubern
C:\Dokumente und Einstellungen\Dieter Hellmann\Cookies\dieter hellmann@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dieter Hellmann\Cookies\dieter hellmann@fastclick[2].txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dieter Hellmann\Cookies\dieter hellmann@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Dieter Hellmann\Cookies\dieter hellmann@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-682003330-1343024091-1060284298-1004\Dc12.dll -> Adware.Gator : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-682003330-1343024091-1060284298-1004\Dc13.dll -> Adware.Gator : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-682003330-1343024091-1060284298-1004\Dc15.dll -> Adware.Gator : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-682003330-1343024091-1060284298-1004\Dc16.dll -> Adware.Gator : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-682003330-1343024091-1060284298-1004\Dc7.dll -> Adware.Gator : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-682003330-1343024091-1060284298-1004\Dc8.exe -> Dialer.Generic : Gesäubert mit Backup


::Report Ende

#10 Hallo@didibonn

Zitat

Leider wieder schnöde Computerei dazwischen...
Wann schläfst Du eigentlich mal??

ich komme selten zum schlafen...weil ich im Minutentakt PCs sauebern "muss" , die keine WindowsUpdates geladen haben und Leute, die immer noch mit dem IE surfen, die ich darauf hinweisen muss, dass es den Firefox gibt .....
http://virus-protect.org/ie.html

dann gibt es auch sowas wie ein eingeschraenktes Benutzerkonto
http://virus-protect.org/administrator.html

Alles Gute fuer dich + PC ....hoffentlich bald mit SP2
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hab Dank!

didibonn

(sovielzeitmusssein...)