"Your system is infected with spyware" *sry*

#1 Hallo und guten Abend,

es tut mir wirklich Leid, dass ich nun auch noch nach einer Lösung fragen muss. Seit heute Mittag hab ich den Kram drauf und hab alle möglichen Tests durchlaufen lassen und nach Hilfen im Netz gesucht - aber nicht wirklich viel verstanden.

Für mich erkenntlich sind zwei Probleme - zum einen will sich "secure32.html" bei jedem Öffnen des Internet Explorers als Startseite einrichten (was Norton brav verhindert) und zum zweiten hab ich diesen wirklich netten Desktophintergrund ("Your system is infected with spyware"), den ich nicht ändern kann.

Außerdem sind da 6 Dateien im Ordner "Windows", die seit Auftreten des Problems da sind, aber ich weiß nicht, ob ich die nun enfach nur löschen soll oder ob ich dadruch am Ende etwas beschädige...

Bin über dieses Forum gestoplert und habe, wie erklärt, ein hjackthis.log-file anfertigen lassen, mit dem ich aber überhaupt nichts anfangen kann.

Hier also das File:
+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++
Logfile of HijackThis v1.99.1
Scan saved at 18:25:28, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\NILaunch.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\paytime.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7DAD3E2-292E-494C-8231-6D0AC62BF690}: NameServer = 192.168.100.50
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Meine Nerven liegen blank. Hoffentlich könnt ihr mir helfen.

Vielen Dank schon im Voraus,
chrissi

#2 Hi Chrissi

Setze vor folgende Zeilen einen Hacken und klicke auf fix checked. Danach ein neues Log machen und posten.

C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\paytime.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

Ich empfehle dir einen Spywarescanner, wie z.B. Spy Sweeper über das System laufen zu lassen


Gruß
Torstiko

#3

Zitat

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

Optional. Diese Einträge sind gutartig.

Lösche mit Killbox (http://managor.de/killbox.htm) folgende Dateien:

c:\secure32.html
C:\WINDOWS\system32\paytime.exe

und (falls vorhanden):
c:\windows\tool2.exe
c:\windows\system32\tibs.exe
c:\windows\system32\paydial.exe
c:\windows\system32\newdial.exe
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#4 So. Ich hab nun bei HijackThis die besagten Seiten (mit Ausnahme der zwei gutartigen) mit "Fix checked" beglückt.

Danach hab ich mit Killbox versucht secure32.html und paytime.exe zu löschen. Aber ich glaub, dass hat nicht funktioniert, zumindest sind die Dateien noch da und mein Desktop sieht immernoch seltsam aus. o.o''

Hier das Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 08:55:20, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\NILaunch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User\Eigene Dateien\Eigene Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7DAD3E2-292E-494C-8231-6D0AC62BF690}: NameServer = 192.168.100.50
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Stehen die zwei "gutartigen" vielleicht auch im Zusammenhang mit dem Desktophintergrund? *verwirrt*

Lieben Gruß und vielen Dank,
chrissi

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Nachträge:

Achso, zu den anderen 4 exe-Dateien: tool2.exe hatte Norton schon erkannt und gelöscht und die anderen drei habe ich nicht drauf.

Hab nun SpySweeper auch noch mal durchlaufen lassen. Der hat auch nochmal was gefunden. Nun Ist dieser komische Hintergrund weg, aber die Einstellungen lassen sich dort noch immer nicht verändern. :-S Seit dem (zweiten) Neustart sind nun auch secure32.html und paytime.exe weg.

Wollte außerdem mal fragen, was das für Dateien sind, die haben das gleiche Datum wie die secure32.html Datei, haben die damit was zu tun?
- unique - Datei - 0 KB - 24.11.2005 13:49
- kl.exe - Anwendung - 57 KB - 24.11.2005 13:49
- hosts - Datei - 0 KB - 24.11.2005 13:50

Und mir ist noch was aufgefallen. Wenn ich Windows herunterfahre, kommt kurz eine Fehlermeldung, die ich aber nicht vollständig lesen kann, weil der PC zu schnell ist. Da kommt ein Fenster mit diesem roten Symbol (Fehlermeldung halt) und der Satz beginnt mit "Die Anwendung..." :-S

#5 Hi Chrissi

Ich kann leider nichts genaues über die 3 von dir genannten Dateien sagen. Der Verdacht ist jedoch groß, das es sich dabei um nichts gutes handelt. Auch könnte kl für Keylogger stehen.

Ich würde sie sicherheitshalber entfernen.

Weshalb sich die Hintergrundeinstellungen nicht ändern lassen, kann ich dir leider nicht sagen.

Gruß
Torstiko

#6 Die drei Dateien würde ich auch entfernen lassen.

Ein Scan mit eScanCheck wäre noch empfehlenswert: http://managor.de/escan.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 @ Magagor - Hab von deiner Seite die Datei für eScan geöffnet und wie angeleitet installieren in "c:\escheck" gedrückt.

Darauf folgte eine Fehlermeldung:
Component "mscomctl.ocx" or one of its dependencies not correctly registered: a file is missing or invalid

Die Fehlermeldung folgt wieder, wenn ich das Programm öffnen will. ?.?

Edit: Bin dabei, zu versuchen, die Warnmeldung bein Herunterfahren mitzuschreiben. Bisheriger Status: "Die Anwendung konnte nicht initialisiert werde, da [...]"

#8 mscomctl.ocx (Download und ins System32-Verzeichnis entpacken: http://www.majorgeeks.com/files/mscomctl.zip)

Falls die Datei vorhanden ist, einfach folgendes ausführen:

Start -> Ausführen -> "REGSVR32 MSCOMCTL.OCX" (ohne Anführungszeichen)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#9 Hab eScan nun wie angeleitet installiert, hat auch funktioniert. Dann hab ich - wie in der Anleitung auf deiner Seite steht - im Nemü wie folgt gewählt:

Sonstiges --> eScan - Download / Update / Start

Dort hab ich die ersten zwei Kontrollkästchen aktiviert, wie verlangt, darauf sagte mir das Programm:

Update fehlgeschlagen. KAVUPD.exe nicht vorhanden.

Liegt das jetzt an meinem PC oder an dem Programm/Server/was auch immer? o.o''

Nya, ich hab dann trotzdem einfach mal auf Starten gedrückt und hier die Auswertung:

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sat Nov 26 11:34:05 2005 => Offending file found: C:\DOKUME~1\User\LOKALE~1\Temp\insthelp.dll
2: Sat Nov 26 11:34:05 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
3: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temp\insthelp.dll
4: Sat Nov 26 11:34:08 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
5: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\496nkl2n\adswrapper[1].js
6: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
7: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\cdqr4h67\adsend[1].js
8: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
9: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\ghuvk9mb\show_ads[2].js
10: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
11: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\496nkl2n\adswrapper[1].js
12: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
13: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\cdqr4h67\adsend[1].js
14: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
15: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\ghuvk9mb\show_ads[2].js
16: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
17: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
18: Sat Nov 26 11:34:08 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
19: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\525E1051.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken.
20: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5430160A.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken.
21: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\544311F4.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken.
22: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\54610BD4.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken.
23: Sat Nov 26 11:39:54 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6A7E43C3.exe infected by "not-virus:Hoax.Win32.Renos.ab" Virus! Action Taken: No Action Taken.
24: Sat Nov 26 11:39:55 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7EC90E05.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.
25: Sat Nov 26 11:41:36 2005 => Scanning File C:\Dokumente und Einstellungen\User\Favoriten\Your system is infected with spyware sry - Security Forum.url [**]
26: Sat Nov 26 11:50:43 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003812.exe infected by "Trojan.Win32.StartPage.adi" Virus! Action Taken: No Action Taken.
27: Sat Nov 26 11:50:45 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003845.exe infected by "Trojan-Spy.Win32.Small.dg" Virus! Action Taken: No Action Taken.
28: Sat Nov 26 11:50:49 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003920.exe infected by "Trojan-Downloader.Win32.Agent.wn" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sat Nov 26 11:39:51 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\11AD733B.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
2: Sat Nov 26 11:39:51 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\16D10B93.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
3: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\1E7C1D23.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
4: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\27FD4CAE.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
5: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2A801BEA.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
6: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2E9F1561.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
7: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32D10AC3.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
8: Sat Nov 26 11:39:55 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7C690CA1.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
9: Sat Nov 26 11:39:55 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7DC36F24.exe tagged as "not-a-virus:AdWare.Win32.SurfAccuracy.d". Action Taken: No Action Taken.
10: Sat Nov 26 11:50:16 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP13\A0000377.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
11: Sat Nov 26 11:50:16 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP13\A0000379.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
12: Sat Nov 26 11:51:21 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP9\A0000255.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
13: Sat Nov 26 11:51:22 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP9\A0000257.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.
14: Sat Nov 26 11:51:22 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP9\A0000267.exe tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Sat Nov 26 11:34:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\dummy.txt". Action Taken: No Action Taken.
2: Sat Nov 26 11:34:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\system32\cmmgr32.exe". Action Taken: No Action Taken.
3: Sat Nov 26 11:34:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "WS_FTPPro". Action Taken: No Action Taken.
4: Sat Nov 26 11:34:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{68BD9813-DDB5-4AD2-BD5E-DAEA8D85A17B}". Action Taken: No Action Taken.
5: Sat Nov 26 11:34:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{6E7DD182-9FC6-4651-0095-2E666CC6AF35}". Action Taken: No Action Taken.
6: Sat Nov 26 11:34:16 2005 => Entry "HKCR\CLSID\{07E64E24-3276-11CF-8823-0000C54F0CE6}" refers to invalid object "C:\PROGRA~1\NET-IT~1\NET-IT~1.EXE". Action Taken: No Action Taken.
7: Sat Nov 26 11:34:18 2005 => Entry "HKCR\CLSID\{50437762-287D-47fc-B71A-3A3C3F731F09}" refers to invalid object "C:\Programme\Ulead Systems\Ulead PhotoImpact 7\wpe.dll". Action Taken: No Action Taken.
8: Sat Nov 26 11:34:23 2005 => Entry "HKCR\.sdp" refers to invalid object "soffice.StarStorageDocument.5". Action Taken: No Action Taken.
9: Sat Nov 26 11:34:24 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\system32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
10: Sat Nov 26 11:34:25 2005 => Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
11: Sat Nov 26 11:34:25 2005 => Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\525E1051.tmp => Email-Worm.Win32.NetSky.b
2: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5430160A.tmp => Email-Worm.Win32.NetSky.b
3: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\544311F4.tmp => Email-Worm.Win32.NetSky.b
4: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\54610BD4.tmp => Email-Worm.Win32.NetSky.b
5: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6A7E43C3.exe => not-virus:Hoax.Win32.Renos.ab
6: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7EC90E05.exe => Trojan-Downloader.Win32.IstBar.gen
7: C:\Dokumente und Einstellungen\User\Favoriten\Your system is =>
8: C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003812.exe => Trojan.Win32.StartPage.adi
9: C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003845.exe => Trojan-Spy.Win32.Small.dg
10: C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003920.exe => Trojan-Downloader.Win32.Agent.wn

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sat Nov 26 12:02:43 2005 => Total Objects Scanned: 53969
Sat Nov 26 12:02:43 2005 => Total Virus(es) Found: 32
Sat Nov 26 12:02:43 2005 => Total Errors: 11
Sat Nov 26 12:02:44 2005 => Virus Database Date: 2005/11/25
Sat Nov 26 12:02:44 2005 => Virus Database Count: 161502
Sat Nov 26 12:07:55 2005 => Total Objects Scanned: 53969
Sat Nov 26 12:07:55 2005 => Total Virus(es) Found: 32
Sat Nov 26 12:07:55 2005 => Total Errors: 11

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Lieben Gruß,
chrissi

#10 hallo chrissi25

es reicht nicht, die sichtbaren Dateien zu loeschen...man muss tiefer graben

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
----------

Info:c:\secure32.html
http://virus-protect.org/artikel/spyware/secure_32.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Das mit dem Clean-Up sollte man glaub ich ruhig öffter mal machen, oder? o.o'' Die Kiste wurde vor einer Woche platt gemacht und das Programm konnte gut 100 MB frei machen. oÔ

Clean-Up ist also durch. Hier die Auszüge aus den Textdateien. (immer ab 08.2005)

system32.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

26.11.2005 17:41 12.470 wacom.dat
26.11.2005 17:37 13.646 wpa.dbl
22.11.2005 13:10 311.604 perfh009.dat
22.11.2005 13:10 316.594 perfh007.dat
22.11.2005 13:10 39.992 perfc009.dat
22.11.2005 13:10 48.156 perfc007.dat
22.11.2005 13:10 723.744 PerfStringBackup.INI
22.11.2005 13:08 209.696 FNTCACHE.DAT
21.11.2005 18:51 44 msssc.dll
21.11.2005 18:43 261 $winnt$.inf
21.11.2005 18:40 2.951 CONFIG.NT
21.11.2005 18:40 16.832 amcompat.tlb
21.11.2005 18:40 23.392 nscompat.tlb
21.11.2005 18:38 488 WindowsLogon.manifest
21.11.2005 18:38 488 logonui.exe.manifest
21.11.2005 18:38 749 cdplayer.exe.manifest
21.11.2005 18:38 749 wuaucpl.cpl.manifest
21.11.2005 18:38 749 sapi.cpl.manifest
21.11.2005 18:38 749 ncpa.cpl.manifest
21.11.2005 18:38 749 nwc.cpl.manifest
21.11.2005 18:36 21.740 emptyregdb.dat
21.11.2005 18:33 0 h323log.txt
10.11.2005 21:17 2.377.568 MRT.exe
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
22.09.2005 18:23 466.944 capicom.dll
19.09.2005 11:24 534.160 SymNeti.dll
19.09.2005 11:23 161.424 SymRedir.dll
17.09.2005 00:20 87.768 S32EVNT1.DLL
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
11.08.2005 16:11 65.024 nwwks.dll

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

systemtemp.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14B6-AF92

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

[ist nichts weiter drin]

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

system.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

26.11.2005 17:41 0 0.log
26.11.2005 17:41 675.313 WindowsUpdate.log
26.11.2005 17:40 2.048 bootstat.dat
26.11.2005 17:40 14.326 SchedLgU.Txt
26.11.2005 17:36 50 wiaservc.log
26.11.2005 17:36 801 wiadebug.log
26.11.2005 14:29 1.357 WINCMD.INI
26.11.2005 14:28 459 wcx_ftp.ini
26.11.2005 14:01 20.450 SIFBPCALIB.DAT
26.11.2005 09:59 24 pqc3b
25.11.2005 09:08 598 win.ini
24.11.2005 13:49 0 uniq
23.11.2005 17:08 494.484 setupapi.log
22.11.2005 13:26 0 nsreg.dat
22.11.2005 13:26 100.482 UninstallThunderbird.exe
22.11.2005 13:26 3.630 mozver.dat
21.11.2005 21:36 86.158 comsetup.log
21.11.2005 21:36 280.459 iis6.log
21.11.2005 21:36 50.814 ntdtcsetup.log
21.11.2005 21:36 107.871 tsoc.log
21.11.2005 21:36 12.640 ocmsn.log
21.11.2005 21:36 1.393 imsins.log
21.11.2005 21:36 11.868 tabletoc.log
21.11.2005 21:36 28.346 KB899587.log
21.11.2005 21:36 116.736 ocgen.log
21.11.2005 21:36 40.121 netfxocm.log
21.11.2005 21:36 16.242 MedCtrOC.log
21.11.2005 21:36 11.547 msgsocm.log
21.11.2005 21:36 222.356 FaxSetup.log
21.11.2005 21:35 75.702 msmqinst.log
21.11.2005 21:35 12.624 updspapi.log

21.11.2005 21:32 17.231 KB894391.log
21.11.2005 21:32 17.472 KB890859.log
21.11.2005 20:59 0 Net-It Now! SE.INI
21.11.2005 20:58 38 Approach.ini
21.11.2005 20:55 0 winhelp.ini
21.11.2005 20:12 1.229 wmsetup.log
21.11.2005 18:46 3.065 Ascd_tmp.ini
21.11.2005 18:45 829 OEWABLog.txt
21.11.2005 18:44 8.192 REGLOCS.OLD
21.11.2005 18:40 0 control.ini
21.11.2005 18:40 316.640 WMSysPr9.prx
21.11.2005 18:39 4.161 ODBCINST.INI
21.11.2005 18:38 749 WindowsShell.Manifest
21.11.2005 18:37 1.023 sessmgr.setup.log
21.11.2005 18:36 37 vbaddin.ini
21.11.2005 18:36 36 vb.ini
21.11.2005 18:36 133 DtcInstall.log
21.11.2005 18:34 200 cmsetacl.log
21.11.2005 18:28 0 Sti_Trace.log
21.11.2005 18:25 1.348 regopt.log
21.11.2005 18:22 0 setuperr.log
21.11.2005 16:47 7.009 KB898461.log
21.11.2005 16:14 181.808 setupact.log
21.11.2005 15:52 227 system.ini
21.11.2005 12:06 20.552 LUINSTALL.LOG
21.11.2005 12:04 8.460 KB893803v2.log
21.11.2005 12:01 785.352 setuplog.txt
15.06.2005 02:20 427.520 WRServices.dll

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

sys.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

26.11.2005 17:51 0 sys.txt
26.11.2005 17:50 6.735 system.txt
26.11.2005 17:49 132 systemtemp.txt
26.11.2005 17:45 92.923 system32.txt
26.11.2005 17:40 535.678.976 hiberfil.sys
26.11.2005 17:40 805.306.368 pagefile.sys
26.11.2005 12:02 0 23990098.$$$
26.11.2005 12:02 5 AVPCallback.log
21.11.2005 18:40 0 AUTOEXEC.BAT
21.11.2005 18:40 0 CONFIG.SYS
21.11.2005 18:40 0 IO.SYS
21.11.2005 18:40 0 MSDOS.SYS
21.11.2005 15:52 211 boot.ini
04.08.2004 13:00 47.564 NTDETECT.COM

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Ich hoffe, dass ist jetzt alles wie du es brauchst. o.o
Vielen Dank schon im Voraus!

chrissi

#12 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

c:\windows\system32\msssc.dll
-------------
poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

dann beginnt die reinigung
__________
MfG Sabina

rund um die PC-Sicherheit

#13 So. also nacheinander. Werd den Eintrag aktualisieren, sobald ich weiter bin.

Zu Schritt 1:
This is a report processed by VirusTotal on 11/26/2005 at 21:26:44 (CET) after scanning the file "msssc.dll" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.26.2005 no virus found
Avast 4.6.695.0 11.26.2005 no virus found
AVG 718 11.25.2005 no virus found
Avira 6.32.0.6 11.26.2005 no virus found
BitDefender 7.2 11.26.2005 no virus found
CAT-QuickHeal 8.00 11.25.2005 no virus found
ClamAV devel-20051108 11.25.2005 no virus found
DrWeb 4.33 11.26.2005 no virus found
eTrust-Iris 7.1.194.0 11.24.2005 no virus found
eTrust-Vet 11.9.1.0 11.25.2005 no virus found
Fortinet 2.48.0.0 11.25.2005 no virus found
F-Prot 3.16c 11.24.2005 no virus found
Ikarus 0.2.59.0 11.26.2005 no virus found
Kaspersky 4.0.2.24 11.26.2005 no virus found
McAfee 4637 11.25.2005 no virus found
NOD32v2 1.1305 11.25.2005 no virus found
Norman 5.70.10 11.25.2005 no virus found
Panda 8.02.00 11.26.2005 no virus found
Sophos 4.00.0 11.26.2005 no virus found
Symantec 8.0 11.26.2005 no virus found
TheHacker 5.9.1.044 11.24.2005 no virus found
VBA32 3.10.5 11.26.2005 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Zu Schritt2. Hier das Log vom Silent Runner:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Net-It Launcher" = "C:\WINDOWS\system32\NILaunch.exe" [null data]
"SpySweeper" = ""C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper and enables Active Desktop]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = ""
"Source" = "C:\Dokumente und Einstellungen\User\Eigene Dateien\Eigene Bilder\Wallpapers\Harry Potter\hp_ravenclaw2.jpg"
"SubscribedURL" = "C:\Dokumente und Einstellungen\User\Eigene Dateien\Eigene Bilder\Wallpapers\Harry Potter\hp_ravenclaw2.jpg"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\2\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmarque.scr" [MS]


Startup items in "User" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string]
"TabUserW.exe" -> shortcut to: "C:\WINDOWS\system32\Wtablet\TabUserW.exe" ["Wacom Technology, Corp."]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Vollständige Systemprüfung ausführen - User" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\Programme\AIM95\aim.exe" ["America Online, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
Norton Protection Center Service, NSCService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
TabletService, TabletService, "C:\WINDOWS\system32\Tablet.exe" ["Wacom Technology, Corp."]
Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 55 seconds, including 18 seconds for message boxes)

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Und nun?

Vielen Dank bis her,
chrissi

#14 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

Gehe in die Registry

Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" <---loeschen

loesche:
C:\WINDOWS\uniq

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken.

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ich dank dir schon jetzt! Sehe meinen Desktop wieder so, wie ich sollte. *froi*

CounterSpy hat nicht automatisch nen Report ausgespuckt. Hat aber 7 Sachen gefunden, die ich hab löschen lassen.

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Spyware Scan Details
Start Date: 26.11.2005 23:50:54
End Date: 27.11.2005 00:06:37
Total Time: 15 mins 43 secs

Detected spyware

Trojan.Desktophijack Trojan more information...
Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ForceActiveDesktopOn 1


Cok.PriceBandit Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\user\cookies\user@apmebf[1].txt


ATDMT.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\user\cookies\user@atdmt[2].txt


CGI-Bin Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\user\cookies\user@cgi-bin[2].txt


DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\user\cookies\user@doubleclick[2].txt


Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\user\cookies\user@mediaplex[1].txt


Radar Spy 1.0 Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\user\cookies\user@tradedoubler[2].txt

+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++

Oder war das das falsche?

Nya, jetzt erst mal ne gute Nacht,
chrissi