Home » Spyware & Browser Hijacker Support Forum » intell32.exe + sywsvcs.exe + msupdate32.dll+ Winhound » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3

Antworten

intell32.exe + sywsvcs.exe + msupdate32.dll+ Winhound

28.11.2005, 09:50

Sabina

Ehrenmitglied

Beiträge: 29434

#1 emiliodilupo

Zitat

Hallo!!
Anbei nun mein Problem. Habe mir smitfraud.d eingefangen und ihn auch soweit beseitigt mit verschiedenen tools. Sabina kannst du mir vielleicht sagen was noch gemacht werden muss??

Logfile of HijackThis v1.99.1
Scan saved at 08:03:52, on 28.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Programme\Panda Software\AVTC\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\AVTC\AVENGINE.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\AVTC\ClShield.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Panda Software\AVTC\SRVLOAD.EXE
C:\Programme\Panda Software\AVTC\WebProxy.exe
C:\WINDOWS\System32\sywsvcs.exe
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
C:\Programme\Remote Desktop\mstsc.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\konf\LOKALE~1\Temp\se.dll/space.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\konf\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {9B1D647D-4FC4-4104-BB12-69216E7E5E49} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunServices: [RunAlert] C:\Programme\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Companion\Modules\messmod3\v4\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Companion\Modules\messmod3\v4\yhexbmes.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {31C766ED-EAB7-400B-A861-86EB4001F491} (NTR ActiveX 1.1.4) - http://www.inquiero.com/inquiero/mod/setup/ntractivex114_9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124860507671
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124860496250
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA58EA51-380F-4303-B375-0D945CA295C3}: NameServer = 192.168.0.21
O18 - Filter: text/html - {654575C2-B925-4F4D-ADD2-CF1F5A2AF9D6} - (no file)
O18 - Filter: text/plain - {654575C2-B925-4F4D-ADD2-CF1F5A2AF9D6} - (no file)
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\q403984.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: HCLInetd - Hummingbird Communications Ltd. - C:\WINDOWS\System32\Hummbird\inetd32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda ClientShield (PAVSRV) - Panda Software - C:\Programme\Panda Software\AVTC\pavsrv51.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

__________
MfG Sabina

rund um die PC-Sicherheit

28.11.2005, 09:55

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

#2 Hallo@emiliodilupo

scanne:
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\konf\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\konf\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {9B1D647D-4FC4-4104-BB12-69216E7E5E49} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O18 - Filter: text/html - {654575C2-B925-4F4D-ADD2-CF1F5A2AF9D6} - (no file)
O18 - Filter: text/plain - {654575C2-B925-4F4D-ADD2-CF1F5A2AF9D6} - (no file)
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\q403984.dll

PC neustarten

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien ( 3 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

28.11.2005, 10:31

emiliodilupo

Member

Beiträge: 15

#3 Hallo Sabina!!

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 50B3-125E

Verzeichnis von C:\WINDOWS\system32

28.11.2005 10:11 7.904 smbios.dat ???????????????

28.11.2005 07:06 57.390 sywsvcs.exe
28.11.2005 07:06 57.390 ~update.exe
28.11.2005 07:04 2.206 wpa.dbl
25.11.2005 16:47 13 present1.txt
25.11.2005 16:45 604.672 pavD.tmp
25.11.2005 16:38 604.672 pav4EC.tmp
25.11.2005 16:13 604.672 pav166.tmp
25.11.2005 15:51 604.672 pav25.tmp
25.11.2005 15:38 604.672 pav403.tmp
25.11.2005 13:55 604.672 pav11.tmp
25.11.2005 13:50 70.144 st3.dll
25.11.2005 13:49 604.672 pav3.tmp
25.11.2005 12:40 604.672 pavE.tmp
25.11.2005 12:33 604.672 pavA.tmp
25.11.2005 12:29 1 done1
25.11.2005 12:29 46.592 zlbw.dll
25.11.2005 12:28 57.390 ll.exe
25.11.2005 12:28 4 winsub.xml
25.11.2005 12:28 58 svcp.csv
25.11.2005 12:28 16.896 mspostsp.exe
25.11.2005 12:28 33.280 msupdate32.dll

28.11.2005, 10:37

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

#4 es sind 4 Textdateien

--> schau die Anleitung auf meiner Seite

__________
MfG Sabina

rund um die PC-Sicherheit

28.11.2005, 11:01

emiliodilupo

Member

Beiträge: 15

#5 Sorry!!

wer lesen kann ist klar im vorteil....

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 50B3-125E

Verzeichnis von C:\WINDOWS\system32

28.11.2005 10:11 7.904 smbios.dat
28.11.2005 07:06 57.390 sywsvcs.exe
28.11.2005 07:06 57.390 ~update.exe
28.11.2005 07:04 2.206 wpa.dbl
25.11.2005 16:47 13 present1.txt
25.11.2005 16:45 604.672 pavD.tmp
25.11.2005 16:38 604.672 pav4EC.tmp
25.11.2005 16:13 604.672 pav166.tmp
25.11.2005 15:51 604.672 pav25.tmp
25.11.2005 15:38 604.672 pav403.tmp
25.11.2005 13:55 604.672 pav11.tmp
25.11.2005 13:50 70.144 st3.dll
25.11.2005 13:49 604.672 pav3.tmp
25.11.2005 12:40 604.672 pavE.tmp
25.11.2005 12:33 604.672 pavA.tmp
25.11.2005 12:29 1 done1
25.11.2005 12:29 46.592 zlbw.dll
25.11.2005 12:28 57.390 ll.exe
25.11.2005 12:28 4 winsub.xml
25.11.2005 12:28 58 svcp.csv
25.11.2005 12:28 16.896 mspostsp.exe
25.11.2005 12:28 33.280 msupdate32.dll
07.11.2005 06:47 243.920 FNTCACHE.DAT
03.11.2005 06:49 374.064 perfh009.dat
03.11.2005 06:49 50.532 perfc009.dat
03.11.2005 06:49 384.216 perfh007.dat
03.11.2005 06:49 61.096 perfc007.dat
03.11.2005 06:49 879.678 PerfStringBackup.INI
06.10.2005 08:36 122.880 mapi32.dll
20.09.2005 08:29 180.555 test
20.09.2005 08:02 181.538 CP 1700
29.08.2005 08:04 85.277 PCSuiteP80x.txt
05.08.2005 20:05 516.096 ati2sgag.exe
04.08.2005 07:07 307.200 atiiiexx.dll
04.08.2005 06:27 249.856 ATIDEMGR.dll
04.08.2005 05:46 6.684.672 atioglx1.dll
04.08.2005 04:28 5.005.312 atioglxx.dll
04.08.2005 04:10 205.312 ati2dvag.dll
04.08.2005 04:04 106.496 atipdlxx.dll
04.08.2005 04:04 73.728 Oemdspif.dll
04.08.2005 04:04 25.088 Ati2mdxx.exe
04.08.2005 04:04 39.936 ati2edxx.dll
04.08.2005 04:04 46.080 ati2evxx.dll
04.08.2005 04:02 380.928 ati2evxx.exe
04.08.2005 04:02 53.248 ATIDDC.DLL
04.08.2005 03:54 2.365.472 ati3duag.dll
04.08.2005 03:47 639.872 ativvaxx.dll
04.08.2005 03:34 147.456 atikvmag.dll
04.08.2005 03:08 17.408 atitvo32.dll
04.08.2005 03:02 212.992 ati2cqag.dll
12.07.2005 17:04 23.304 GWFSPidGen.dll
12.07.2005 17:04 520.456 LegitCheckControl.dll

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 50B3-125E

Verzeichnis von C:\DOKUME~1\konf\LOKALE~1\Temp

28.11.2005 10:20 16.384 Perflib_Perfdata_898.dat
28.11.2005 10:20 16.384 Perflib_Perfdata_e9c.dat
28.11.2005 10:20 16.384 Perflib_Perfdata_ec8.dat
28.11.2005 10:20 224 WCESCOMM.LOG
4 Datei(en) 49.376 Bytes
0 Verzeichnis(se), 1.922.904.064 Bytes frei

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 50B3-125E

Verzeichnis von C:\WINDOWS

28.11.2005 10:11 0 0.log
28.11.2005 10:10 159 wiadebug.log
28.11.2005 10:10 50 wiaservc.log
28.11.2005 10:10 2.048 bootstat.dat
28.11.2005 10:08 32.620 SchedLgU.Txt
28.11.2005 09:54 309 TOBITADD.INI
28.11.2005 09:54 1.033 Tobit.ini
28.11.2005 07:09 140 msicpl.ini
25.11.2005 16:37 852 win.ini
25.11.2005 16:37 246 system.ini
25.11.2005 13:54 13.824 q403984.dll
25.11.2005 13:51 52.736 cc.exe
25.11.2005 12:40 13.824 q368062.dll
25.11.2005 12:28 3.584 uninstIU.exe
25.11.2005 12:28 1.429 warnhp.html
04.11.2005 11:47 2.555.904 TOBITCLT.DLL
31.10.2005 15:50 1.052.672 dvapi32.dll
26.10.2005 09:44 81.920 dvctl32.dll
06.10.2005 13:24 937 Ulead32.ini
21.09.2005 06:58 169 RtlRack.ini
19.09.2005 11:43 2.510 Microsoft.MIF
19.09.2005 11:43 2.464 $_hpcst$.hpc
08.09.2005 06:23 2.778 Korpus.ini
29.08.2005 08:04 841 ODBC.INI
26.08.2005 11:24 8.192 REGULOCS.OLD
24.08.2005 06:19 2.943.885 setupapi.log.0.old
23.08.2005 11:13 4.702 Radio.INI
30.05.2005 15:34 0 mtstack16.INI
04.04.2005 13:06 4.161 ODBCINST.INI

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 50B3-125E

Verzeichnis von C:\

28.11.2005 10:55 0 sys.txt
28.11.2005 10:55 7.000 system.txt
28.11.2005 10:55 474 systemtemp.txt
28.11.2005 10:55 104.860 system32.txt
28.11.2005 10:21 429 datFind.bat
28.11.2005 10:12 7.078 hijackthis.log
28.11.2005 10:10 1.207.959.552 pagefile.sys
28.11.2005 09:25 111.099 PANDA.RPT
25.11.2005 16:47 3.579 smitfiles.txt
25.11.2005 16:37 194 boot.ini
20.09.2005 09:02 2.750 mediabuild.log
23.08.2005 11:13 48 TEMP.~AV
16.08.2005 21:46 194 BOOT.BKK
16.08.2005 20:24 193 ALCxxx-06.log
16.08.2005 20:23 32 VIA3149.log
16.08.2005 20:20 90 VIA0571.log
04.04.2005 13:05 3 TCPCheckResult.txt

mfg, Emilio

28.11.2005, 11:52

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

#6 bevor wir mit der Reinigung beginnen:

C:\WINDOWS\system32\smbios.dat --> rechtsklick--> oeffnen mit--> Texteditor--> kopiere ab, was dort erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

28.11.2005, 12:00

emiliodilupo

Member

Beiträge: 15

#7 Phoenix Technologies, LTD 6.00 PG 13092004 VIA Technologies, Inc. KT600-8237 ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿDesktop KT600-8237 Version Pentium AMD b ÿûƒAMD Athlon(tm) XP Å¸… 8-bit Paridad 70 Ns, 60 Ns EDO A0 < ‰ SDRAM A1 < SDRAM A2 < Ninguno PCI PCI0 PCI PCI1 PCI PCI2 PCI PCI3 AGP AGP

28.11.2005, 12:03

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

#8 Gehe in die Registry

Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\

"FriendlyName" = "Warning homepage" <--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen
"SubscribedURL" = ""
-----------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\sywsvcs.exe
C:\WINDOWS\system32\~update.exe
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\present1.txt
C:\WINDOWS\system32\pavD.tmp
C:\WINDOWS\system32\pav4EC.tmp
C:\WINDOWS\system32\pav166.tmp
C:\WINDOWS\system32\pav25.tmp
C:\WINDOWS\system32\pav403.tmp
C:\WINDOWS\system32\pav11.tmp
C:\WINDOWS\system32\st3.dll
C:\WINDOWS\system32\pav3.tmp
C:\WINDOWS\system32\pavE.tmp
C:\WINDOWS\system32\pavA.tmp
C:\WINDOWS\system32\done1
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\ll.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\mspostsp.exe
C:\WINDOWS\system32\msupdate32.dll
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\q403984.dll
C:\WINDOWS\cc.exe
C:\WINDOWS\q368062.dll
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\warnhp.html

PC neustarten

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip

- ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab und in den Thread vom Sicherheitsforum)

- psguardrem.reg (klicken) und der Registry beifuegen

scanne mit ewido--> poste den scanreport
http://virus-protect.org/ewido.html

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

28.11.2005, 12:06

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

Zitat

emiliodilupo postete
Phoenix Technologies, LTD 6.00 PG 13092004 VIA Technologies, Inc. KT600-8237 ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿDesktop KT600-8237 Version Pentium AMD b ÿûƒAMD Athlon(tm) XP Å¸… 8-bit Paridad 70 Ns, 60 Ns EDO A0 < ‰ SDRAM A1 < SDRAM A2 < Ninguno PCI PCI0 PCI PCI1 PCI PCI2 PCI PCI3 AGP AGP

hast du sowas bewusst geladen ????
C:\WINDOWS\system32\smbios.dat
__________
MfG Sabina

rund um die PC-Sicherheit

28.11.2005, 13:51

emiliodilupo

Member

Beiträge: 15

#10

Zitat

hast du sowas bewusst geladen ????
C:\WINDOWS\system32\smbios.dat
__________

NEIN!! was ist das denn??

28.11.2005, 13:53

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

#11 C:\WINDOWS\system32\smbios.dat
dann kopiere es auch in die killbox, zusammen mit den anderen Dateien und loesche es so

__________
MfG Sabina

rund um die PC-Sicherheit

28.11.2005, 14:47

emiliodilupo

Member

Beiträge: 15

#12 ---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:42:54, 28.11.2005
+ Report-Checksumme: AEE9FFB6

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall -> Spyware.CoolWebSearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\konf\Cookies\konf@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\konf\Cookies\konf@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\konf\Lokale Einstellungen\Temp\Cookies\konf@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\links.VIR -> Trojan.LowZones.df : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\links.VIR00 -> Trojan.LowZones.df : Gesäubert mit Backup
G:\Gedöns\PhoneTools\document\recv0357.num -> Adware.SpySheriff : Gesäubert mit Backup
G:\Gedöns\PhoneTools\document\send0111.num -> Adware.SpySheriff : Gesäubert mit Backup
G:\Gedöns\PhoneTools\document\send0169.num -> Adware.SpySheriff : Gesäubert mit Backup

::Report Ende

Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........

Creating dummy ..........

Hiving Dummy / Saving Dummyhive ..........

Deleting Dummy ..........

Adding Dummyhive ...........

Deleting ShudderLTD/PSGuard.com ...........

Checking if ShudderLTD/PSGuard.com is still present ..........

Deleting leftovers in registry ..........

Leftovers deleted!

Panda erledigt winient.old & mitrem.exe( hacker tool)

was sollen wir denn nun machen??

28.11.2005, 18:01

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

#13 scanne--> ich moechte immer gern die scanreporte sehen

...vom panda hast du ihn nicht gepostet.....
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.11.2005, 09:40

emiliodilupo

Member

Beiträge: 15

#14 wirklich das ganze Logbuch?

-----------------------------------------------------------------------------
Geprüfte Objekte: 204125
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 2
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 2
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 674 Kb/s
Dauer:: 01:24:43
-----------------------------------------------------------------------------

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 204235
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 2
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 2
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 680 Kb/s
Dauer:: 01:24:52
=============================================================================

für den Panda scan....
Sorry, aber ich fand das lobbuch nirgends

momentan ist der intell32.exe noch immer aktiv.
wird immer rausgekickt von der testversion von ewido

Emilio

29.11.2005, 10:34

Sabina

Ehrenmitglied
Themenstarter

Beiträge: 29434

#15 http://virus-protect.org/silentrunner.html
poste das log vom Silentrunner
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3