Home » Spyware & Browser Hijacker Support Forum » Your computer is infected - und noch ein Thread » Themenansicht

Your computer is infected - und noch ein Thread
#0
20.11.2005, 22:57
Schwob
...neu hier

Beiträge: 3
#1 Hallo !

Ich bin hier kurz davor meinen Rechner platt zu machen. Versuche nun schon seit 3 Stunden diesen dummer Virus von der Platte zu bekommen, aber ausser das dass Bild auf dem Desktop weg ist, habe ich nicht mehr hinbekommen. Die drei Kreuze und das nervigen Aufgeploppe der Meldung habe ich nicht wegbekommen. Ich hoffe mir kann jemand helfen bevor ich meinen Rechner zum Fenster rauswerfe... Heul

Anbei meinen Hijack und Datfindbat Ausdrucke:

Logfile of HijackThis v1.99.1
Scan saved at 22:50:08, on 20.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Norton AntiVirus\navapsvc.exe
F:\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
F:\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
F:\Winamp\Winampa.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

Datfindbat:
1
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

20.11.2005 21:49 13.668 wpa.dbl
20.11.2005 18:34 4.057 paytime.exe
09.11.2005 19:54 301.232 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 11:56 379.880 perfh009.dat
30.10.2005 11:56 53.024 perfc009.dat
30.10.2005 11:56 391.394 perfh007.dat
30.10.2005 11:56 64.072 perfc007.dat
30.10.2005 11:56 898.084 PerfStringBackup.INI
20.10.2005 23:13 89.128 GDIPFONTCACHEV1.DAT
06.10.2005 13:24 2.027.168 WebClient.dll
06.10.2005 13:23 241.312 WCMainTabCtrl.dll
06.10.2005 13:23 1.916.576 WebVideo.dll
06.10.2005 13:22 339.616 PalTextCtl.dll
06.10.2005 13:19 220.832 palsound.dll
06.10.2005 13:18 495.264 GroupMsgCtl.dll
06.10.2005 13:16 188.064 ftpclient.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
04.10.2005 10:36 98.304 CmdLineExt.dll
23.09.2005 04:06 8.491.520 shell32.dll
15.09.2005 17:55 458.752 mgxoschk.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
01.09.2005 21:45 3.670 Sys2659c.DLL
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
13.08.2005 13:30 13.668 wpa.bak
13.08.2005 13:27 43.927 $winnt$.inf
13.08.2005 13:24 16.832 amcompat.tlb
13.08.2005 13:24 23.392 nscompat.tlb
13.08.2005 13:23 488 WindowsLogon.manifest
13.08.2005 13:23 488 logonui.exe.manifest
13.08.2005 13:23 749 cdplayer.exe.manifest
13.08.2005 13:23 749 ncpa.cpl.manifest
13.08.2005 13:23 749 wuaucpl.cpl.manifest
13.08.2005 13:23 749 nwc.cpl.manifest
13.08.2005 13:23 749 sapi.cpl.manifest
13.08.2005 13:22 23.604 emptyregdb.dat
13.08.2005 13:21 525 mapisvc.inf
13.08.2005 12:58 1.154 oeminfo.ini
11.08.2005 16:11 65.024 nwwks.dll
03.08.2005 09:33 520.456 LegitCheckControl.DLL

2.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\Franco\LOKALE~1\Temp

3.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

20.11.2005 21:50 6.102 ModemLog_Bluetooth DUN Modem.txt
20.11.2005 21:50 6.114 ModemLog_Bluetooth Fax Modem.txt
20.11.2005 21:50 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
20.11.2005 21:50 2.018.221 WindowsUpdate.log
20.11.2005 21:50 89 SCARDSRV.INI
20.11.2005 21:50 0 SCARDSRV.TMP
20.11.2005 21:50 44.856 SCARDLOG.TDG
20.11.2005 21:49 2.048 bootstat.dat
20.11.2005 21:48 32.520 SchedLgU.Txt
20.11.2005 21:06 880 win.ini
20.11.2005 21:06 388 system.ini
20.11.2005 18:34 2.033 hosts
20.11.2005 18:34 1.999 desktop.html
20.11.2005 18:34 3.052 secure32.html
20.11.2005 18:34 1.024 degbes.exe
20.11.2005 18:34 1.024 de.exe
20.11.2005 18:34 28.672 tool2.exe
20.11.2005 18:34 66.064 kl.exe
20.11.2005 18:34 0 uniq
20.11.2005 00:15 202 NeroDigital.ini
19.11.2005 16:28 132 winamp.ini
19.11.2005 16:14 144.839 MILTIME.VAL
01.11.2005 17:52 0 tdf.dii
01.11.2005 17:52 3.081 tm.ini
28.10.2005 18:59 1.515 VISITEN.INI
25.10.2005 18:41 250.009 MILTIME.VAM
19.10.2005 19:39 31 LxTrans.INI
19.10.2005 19:13 4.359 ODBCINST.INI
07.10.2005 17:23 524 eReg.dat
27.09.2005 20:37 0 homeDVD-Filme5.INI
13.09.2005 18:09 2.608 mozver.dat
01.09.2005 21:35 25 ÿúF
14.08.2005 11:04 400 ODBC.INI
13.08.2005 13:24 316.640 WMSysPr9.prx
13.08.2005 13:23 749 WindowsShell.Manifest
13.08.2005 12:47 1.395 UPGRADE.TXT
13.08.2005 12:16 148.035 setupapi.old

4.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

20.11.2005 22:58 0 sys.txt
20.11.2005 22:58 7.170 system.txt
20.11.2005 22:58 125 systemtemp.txt
20.11.2005 22:58 116.031 system32.txt
20.11.2005 21:49 1.073.270.784 hiberfil.sys
20.11.2005 21:49 1.610.612.736 pagefile.sys
20.11.2005 21:06 211 boot.ini
20.11.2005 18:34 3.052 secure32.html
20.11.2005 18:34 28.672 winstall.exe
23.10.2005 13:30 0 palsound.txt
19.10.2005 19:35 614 Connection.Log
14.06.2005 19:05 12 CONFIG.SYS
30.05.2005 21:18 474 debugInstaller.txt
30.05.2005 21:04 2.750 LGSInst.Log
12.02.2005 19:54 50 AUTOEXEC.BAT
06.02.2005 14:35 771 IPH.PH
26.01.2005 21:11 0 IO.SYS
26.01.2005 21:11 0 MSDOS.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
21 Datei(en) 2.684.347.152 Bytes
0 Verzeichnis(se), 65.767.534.592 Bytes frei

Ich hoffe es kann mir jemand helfen.

Mit hoffnungsvollen Grüssen aus dem Schwabenland

Der Schwob
Seitenanfang Seitenende
20.11.2005, 23:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 gehe in die registry

Start-->Ausfuehren--> regedit

HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html"<--loeschen


KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\hosts
C:\WINDOWS\desktop.html
C:\WINDOWS\secure32.html
C:\WINDOWS\degbes.exe
C:\WINDOWS\de.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\kl.exe
C:\WINDOWS\ÿúF
C:\WINDOWS\uniq
C:\secure32.html
C:\winstall.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Panda (poste den scanreport
http://virus-protect.org/onlinescan.html

dann mache dir die Muehe und kopiere das Log vom HijackThis bitte komplett, so muss ich nicht meine Glaskugel zu Rate ziehen lol
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2005, 00:22
Schwob
...neu hier

Themenstarter

Beiträge: 3
#3 Hi Sabina,
hui das war ja eine super schnelle Antwort.
Ja das mit dem nur halben Post habe ich auch gemerkt. Sorry.
Vor lauter Virus .....

Ich danke Dir dennoch für Deine Mühe, ich habe es inzwischen herausgefunden und konnte es komplett (denke ich mal) löschen..
Habe es über den Link auf dem Forum (zur Automatischen Auswertung des Logfiles) geschafft und dadurch einiges erfahren was da schief lief...

Anbei nochmal der komplette Ausdruck. Ist da noch etwas komisches drin?

Logfile of HijackThis v1.99.1
Scan saved at 00:20:38, on 21.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Norton AntiVirus\navapsvc.exe
F:\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SCARDS32.EXE
F:\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
F:\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Download\Programme\Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.1;127.0.0.1;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\GetRight\xx2gr.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - f:\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [WinampAgent] "F:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: phase6_17_erinnerung.lnk = F:\lernen\phase6\phase6_17\WinStart\WinStart.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit GetRight laden - F:\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit GetRight-Browser öffnen - F:\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125001339328
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - F:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - F:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - F:\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - F:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Und die Dat Dateien

1.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

21.11.2005 00:14 13.668 wpa.dbl
09.11.2005 19:54 301.232 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 11:56 379.880 perfh009.dat
30.10.2005 11:56 53.024 perfc009.dat
30.10.2005 11:56 391.394 perfh007.dat
30.10.2005 11:56 64.072 perfc007.dat
30.10.2005 11:56 898.084 PerfStringBackup.INI
20.10.2005 23:13 89.128 GDIPFONTCACHEV1.DAT
06.10.2005 13:23 241.312 WCMainTabCtrl.dll
06.10.2005 13:23 1.916.576 WebVideo.dll
06.10.2005 13:22 339.616 PalTextCtl.dll
06.10.2005 13:19 220.832 palsound.dll
06.10.2005 13:18 495.264 GroupMsgCtl.dll
06.10.2005 13:16 188.064 ftpclient.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
04.10.2005 10:36 98.304 CmdLineExt.dll
23.09.2005 04:06 8.491.520 shell32.dll
15.09.2005 17:55 458.752 mgxoschk.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 21:45 3.670 Sys2659c.DLL
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
13.08.2005 13:30 13.668 wpa.bak
13.08.2005 13:27 43.927 $winnt$.inf
13.08.2005 13:24 16.832 amcompat.tlb
13.08.2005 13:24 23.392 nscompat.tlb
13.08.2005 13:23 488 logonui.exe.manifest
13.08.2005 13:23 488 WindowsLogon.manifest
13.08.2005 13:23 749 cdplayer.exe.manifest
13.08.2005 13:23 749 ncpa.cpl.manifest
13.08.2005 13:23 749 sapi.cpl.manifest
13.08.2005 13:23 749 nwc.cpl.manifest
13.08.2005 13:23 749 wuaucpl.cpl.manifest
13.08.2005 13:22 23.604 emptyregdb.dat
13.08.2005 13:21 525 mapisvc.inf
13.08.2005 12:58 1.154 oeminfo.ini
11.08.2005 16:11 65.024 nwwks.dll
03.08.2005 09:33 520.456 LegitCheckControl.DLL

2. (ich weiss das muss eigentlich leer sein) ;)

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\Franco\LOKALE~1\Temp

21.11.2005 00:14 816 jusched.log
1 Datei(en) 816 Bytes
0 Verzeichnis(se), 65.767.641.088 Bytes frei

3.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

21.11.2005 00:15 1.383 setupapi.log
21.11.2005 00:14 0 0.log
21.11.2005 00:14 6.102 ModemLog_Bluetooth DUN Modem.txt
21.11.2005 00:14 6.114 ModemLog_Bluetooth Fax Modem.txt
21.11.2005 00:14 3.844 ModemLog_Agere Systems PCI Soft Modem.txt
21.11.2005 00:14 23.094 WindowsUpdate.log
21.11.2005 00:14 89 SCARDSRV.INI
21.11.2005 00:14 0 SCARDSRV.TMP
21.11.2005 00:14 45.360 SCARDLOG.TDG
21.11.2005 00:14 2.048 bootstat.dat
21.11.2005 00:12 884 SchedLgU.Txt
20.11.2005 23:25 880 win.ini
20.11.2005 23:25 388 system.ini
20.11.2005 18:34 2.033 hosts
20.11.2005 18:34 1.999 desktop.html
20.11.2005 18:34 3.052 secure32.html
20.11.2005 18:34 1.024 degbes.exe
20.11.2005 18:34 1.024 de.exe
20.11.2005 18:34 66.064 kl.exe
20.11.2005 18:34 0 uniq
20.11.2005 00:15 202 NeroDigital.ini
19.11.2005 16:28 132 winamp.ini
19.11.2005 16:14 144.839 MILTIME.VAL
01.11.2005 17:52 0 tdf.dii
01.11.2005 17:52 3.081 tm.ini
28.10.2005 18:59 1.515 VISITEN.INI
25.10.2005 18:41 250.009 MILTIME.VAM
19.10.2005 19:39 31 LxTrans.INI
19.10.2005 19:13 4.359 ODBCINST.INI
07.10.2005 17:23 524 eReg.dat
27.09.2005 20:37 0 homeDVD-Filme5.INI
13.09.2005 18:09 2.608 mozver.dat
01.09.2005 21:35 25 ÿúF
14.08.2005 11:04 400 ODBC.INI
13.08.2005 13:24 316.640 WMSysPr9.prx
13.08.2005 13:23 749 WindowsShell.Manifest
13.08.2005 12:47 1.395 UPGRADE.TXT
13.08.2005 12:16 148.035 setupapi.old

4.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

21.11.2005 00:24 0 sys.txt
21.11.2005 00:24 7.216 system.txt
21.11.2005 00:23 284 systemtemp.txt
21.11.2005 00:23 115.931 system32.txt
21.11.2005 00:13 1.073.270.784 hiberfil.sys
21.11.2005 00:13 1.610.612.736 pagefile.sys
20.11.2005 23:25 211 boot.ini
20.11.2005 18:34 3.052 secure32.html
23.10.2005 13:30 0 palsound.txt
19.10.2005 19:35 614 Connection.Log
14.06.2005 19:05 12 CONFIG.SYS
30.05.2005 21:18 474 debugInstaller.txt
30.05.2005 21:04 2.750 LGSInst.Log
12.02.2005 19:54 50 AUTOEXEC.BAT
06.02.2005 14:35 771 IPH.PH
26.01.2005 21:11 0 IO.SYS
26.01.2005 21:11 0 MSDOS.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
20 Datei(en) 2.684.318.585 Bytes
0 Verzeichnis(se), 65.767.641.088 Bytes frei

Ich hoffe ich habe alles erwischt ?

Gruss vom Schwob
Seitenanfang Seitenende
21.11.2005, 11:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 der PC ist weiterhin verseucht.....

Zitat

C:\WINDOWS
20.11.2005 18:34 2.033 hosts
20.11.2005 18:34 1.999 desktop.html
20.11.2005 18:34 3.052 secure32.html
20.11.2005 18:34 1.024 degbes.exe
20.11.2005 18:34 1.024 de.exe
20.11.2005 18:34 66.064 kl.exe
20.11.2005 18:34 0 uniq

Verzeichnis von C:\
20.11.2005 18:34 3.052 secure32.html
mit der killbox loeschen, dann PC neustarten
C:\WINDOWS\hosts
C:\WINDOWS\desktop.html
C:\WINDOWS\secure32.html
C:\WINDOWS\degbes.exe
C:\WINDOWS\de.exe
C:\WINDOWS\kl.exe
C:\secure32.html

dann bitte alles ausfuehren...auch die Logs von den Scans posten.......

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Panda (poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2005, 19:32
Schwob
...neu hier

Themenstarter

Beiträge: 3
#5 Brauchst du auch nochmal die Daten von Hijack und datfind.bat?

Pocket Killbox version 2.0.0.473
Running on Windows XP As an Administrator
was started @ Sonntag, November 20, 2005, 9:17 PM

Killbox Closed(Exit) @ 9:17:05 PM
__________________________________________________

Pocket Killbox version 2.0.0.473
Running on Windows XP As an Administrator
was started @ Sonntag, November 20, 2005, 9:55 PM

# 1 [Delete on Reboot]
Path = c:\WINDOWS\system32\appwiz.dll


# 2 [Delete on Reboot]
Path = c:\WINDOWS\system32\appwiz.dll


Killbox Closed(Exit) @ 9:58:53 PM
__________________________________________________

Pocket Killbox version 2.0.0.473
Running on Windows XP As an Administrator
was started @ Sonntag, November 20, 2005, 11:21 PM

# 1 [Files to Delete]
Path = c:\WINDOWS\system32\paytime.exe
*This file does not seem to exist

# 2 [Files to Delete]
Path = c:\WINDOWS\tool2.exe
*This file does not seem to exist

Killbox Closed(Exit) @ 11:22:28 PM
__________________________________________________

Pocket Killbox version 2.0.0.473
Running on Windows XP As an Administrator
was started @ Montag, November 21, 2005, 12:09 AM

Killbox Closed(Exit) @ 12:12:41 AM
__________________________________________________

Pocket Killbox version 2.0.0.473
Running on Windows XP As an Administrator
was started @ Montag, November 21, 2005, 6:59 PM

# 1 [Files to Delete]
Path = c:\WINDOWS\hosts
*File Was Deleted

# 2 [Files to Delete]
Path = c:\WINDOWS\desktop.html
*File Was Deleted

# 3 [Delete on Reboot]
Path = c:\WINDOWS\hosts
*File Was Deleted

# 4 [Delete on Reboot]
Path = c:\WINDOWS\hosts
*File Was Deleted

# 5 [Delete on Reboot]
Path = c:\WINDOWS\secure32.html
*File Was Deleted

# 6 [Delete on Reboot]
Path = c:\WINDOWS\secure32.html
*File Was Deleted

# 7 [Files to Delete]
Path = c:\WINDOWS\secure32.html
*File Was Deleted

# 8 [Files to Delete]
Path = c:\WINDOWS\degbesd.exe
*This file does not seem to exist

# 9 [Files to Delete]
Path = c:\WINDOWS\degbes.exe
*File Was Deleted

# 10 [Files to Delete]
Path = c:\WINDOWS\de.exe
*File Was Deleted

# 11 [Files to Delete]
Path = c:\WINDOWS\kl.exe
*File Was Deleted

# 12 [Files to Delete]
Path = c:\secure32.html
*File Was Deleted

Killbox Closed(Exit) @ 7:03:19 PM
__________________________________________________


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)


Post von Panda:

Incident Status Location

Adware:adware/cws.searchmeup Not desinfected Windows Registry
Adware:Adware/SpySheriff Not desinfected C:\!KillBox\desktop.html
Adware:Adware/Secure32 Not desinfected C:\!KillBox\secure32.html
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Franco\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jpg-5c868ee8-2c18a0c5.zip[Gummy.class]
Adware:Adware/EShopper Not desinfected C:\Programme\EA SPORTS\FUSSBALL MANAGER 06\database\Uninstal.exe
Seitenanfang Seitenende
22.11.2005, 00:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 leere manuell: C:\!KillBox

wende CleanUp an (um das Java-Cache zu leeren)
http://virus-protect.org/cleanup.html

das wird als Adware betrachtet...du musst selbst wissen, ob du es noch auf dem System haben willst ;)
C:\Programme\EA SPORTS\FUSSBALL MANAGER 06\database\Uninstal.exe

poste noch mal die 4 Textdateien

-----------------------------------------
nimm das aus dem Autostart, denn es verfaelscht die Ergebnisse der anderen Scanner:
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe

http://virus-protect.org/ewido.html
scanne mit ewido und poste den scanreport ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1