Warning! Your PC is infected with spyware

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.12.2005, 23:17
...neu hier

Beiträge: 8
#1 Hallo,
so lautet die Nachricht im Betreff, wenn ich meinen IE öffne. Außerdem öffnet sich nicht meine Startseite, sondern updateyoursystem.com. Spyaxe hab ich schon runter bekommen und den roten Kreis mit dem weißen Kreuz hab ich auch nicht mehr. Folgend meine hijackthis log, clean up! wurde durchgeführt, datfind.bat. Ich hoffe Ihr könnt mir weiterhelfen. Danke köla.

Logfile of HijackThis v1.99.1
Scan saved at 22:37:05, on 03.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Roland\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>;localhost
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp3DBD.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld3BFB.tmp" /m
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe


Verzeichnis von C:\WINDOWS\system32

03.12.2005 22:39 5.384 ncompat.tlb
03.12.2005 22:19 24.064 ldE1FE.tmp
03.12.2005 20:41 24.064 ld656F.tmp
03.12.2005 15:53 9.728 mssearchnet.exe
02.12.2005 19:32 5.632 msvol.tlb
02.12.2005 19:32 20.480 hp3DBD.tmp
02.12.2005 19:10 20.480 hp7366.tmp
02.12.2005 15:15 4.286 ts.ico
02.12.2005 15:15 4.286 ot.ico
02.12.2005 15:15 13.964 nvctrl.exe
02.12.2005 15:13 14.568 mscornet.exe
29.11.2005 21:11 1.158 wpa.dbl
30.10.2005 09:43 45.742 perfc009.dat
30.10.2005 09:43 364.068 perfh009.dat
30.10.2005 09:43 55.184 perfc007.dat
30.10.2005 09:43 371.602 perfh007.dat
30.10.2005 09:43 843.576 PerfStringBackup.INI
22.09.2005 20:34 43.520 CmdLineExt03.dll
24.08.2005 14:31 189.792 FNTCACHE.DAT


Verzeichnis von C:\DOKUME~1\Roland\LOKALE~1\Temp

03.12.2005 22:40 512 ~DF7BC6.tmp
03.12.2005 22:40 512 ~DF78B1.tmp
03.12.2005 22:20 0 me_Y1VShipi9JY7Md2
03.12.2005 22:20 0 me_1AUrsuiVbB51oyu
03.12.2005 22:20 0 me_WoySUJMDT9hVQab
03.12.2005 22:20 0 me_6wiApV414rg06Yu
6 Datei(en) 1.024 Bytes
0 Verzeichnis(se), 20.437.032.960 Bytes frei


Verzeichnis von C:\WINDOWS

03.12.2005 22:20 54.156 QTFont.qfn
03.12.2005 21:03 1.704.991 setupapi.log
03.12.2005 20:40 0 0.log
03.12.2005 20:40 2.048 bootstat.dat
03.12.2005 20:40 32.626 SchedLgU.Txt
03.12.2005 20:24 216 wiadebug.log
03.12.2005 16:09 50 wiaservc.log
02.12.2005 15:16 9.770 ModemLog_Agere Systems AC'97 Modem.txt
17.11.2005 16:09 1.409 QTFont.for
11.11.2005 21:59 214.124 setupact.log
30.09.2005 23:01 69.536 MEMORY.DMP
15.09.2005 05:06 113 Peter's Go.ini
25.08.2005 20:31 604 EventSystem.log


Verzeichnis von C:\

03.12.2005 22:41 0 sys.txt
03.12.2005 22:41 7.584 system.txt
03.12.2005 22:40 561 systemtemp.txt
03.12.2005 22:40 95.464 system32.txt
03.12.2005 20:40 792.723.456 pagefile.sys
02.12.2005 16:05 61.040 hpfr6500.log
24.08.2005 14:15 890 sharks_log.html
08.11.2004 19:11 194 boot.ini
27.09.2004 06:56 2.453 Lang.txt
27.09.2004 06:55 2.138 INSTALL.txt
27.09.2004 06:53 90 setup.log
16.09.2002 10:48 0 IO.SYS
16.09.2002 10:48 0 MSDOS.SYS
16.09.2002 10:48 0 AUTOEXEC.BAT
16.09.2002 10:48 0 CONFIG.SYS
29.08.2002 13:00 4.952 bootfont.bin
29.08.2002 13:00 47.580 NTDETECT.COM
29.08.2002 13:00 235.296 ntldr
18 Datei(en) 793.181.698 Bytes
0 Verzeichnis(se), 20.437.032.960 Bytes frei
Seitenanfang Seitenende
04.12.2005, 00:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 köla

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

c:\windows\system32\mdmdll.exe

-----------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hp3DBD.tmp
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld3BFB.tmp" /m

PC neustarten

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

----------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ldE1FE.tmp
C:\WINDOWS\System32\1024\ld3BFB.tmp
C:\WINDOWS\system32\ld656F.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp3DBD.tmp
C:\WINDOWS\system32\hp7366.tmp

C:\DOKUME~1\Roland\LOKALE~1\Temp\me_Y1VShipi9JY7Md2
C:\DOKUME~1\Roland\LOKALE~1\Temp\me_1AUrsuiVbB51oyu
C:\DOKUME~1\Roland\LOKALE~1\Temp\me_WoySUJMDT9hVQab
C:\DOKUME~1\Roland\LOKALE~1\Temp\me_6wiApV414rg06Yu

C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe
c:\windows\system32\mdmdll.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

wende CleanUp an
http://virus-protect.org/cleanup.html

loesche:
C:\WINDOWS\System32\1024

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

scanne mit Kaspersky
--> poste den scanreport
http://virus-protect.org/onlinescan.html


Zitat

mdmdll.exe "Added by the WIN32.CRYPTER

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 16:13
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo Sabina,
danke für die schnelle Antwort!

c:\windows\system32\mdmdll.exe existiert nicht, somit kann ich auch kein Ergebnis posten

killbox:
c:\windows\system32\ldE1FE.tmp existiert nicht
c:\windows\system32\1024\ld3BFB.tmp existiert nicht

diese files existieren so nicht, aber mit anderen seltsamen Endungen. Die hab ich dann auch gelöscht.
C:\DOKUME~1\Roland\LOKALE~1\Temp\me_Y1VShipi9JY7Md2
C:\DOKUME~1\Roland\LOKALE~1\Temp\me_1AUrsuiVbB51oyu
C:\DOKUME~1\Roland\LOKALE~1\Temp\me_WoySUJMDT9hVQab
C:\DOKUME~1\Roland\LOKALE~1\Temp\me_6wiApV414rg06Yu

c:\windows\system32\mdmdll.exe existiert nicht

Beim Neustart hab ich zwar F8 gedrückt, ich konnte aber keinen abgesicherten Modus auswählen. Hab dann trotzdem die restlichen Anweisungen von Dir befolgt.

C:\WINDOWS\System32\1024 existiert nicht

F-Secure log:
12/04/05 15:01:31 [Info]: BlackLight Engine 1.0.25 initialized
12/04/05 15:01:31 [Info]: OS: 5.1 build 2600 (Service Pack 1)
12/04/05 15:01:32 [Note]: 4019 4
12/04/05 15:01:32 [Note]: 4005 0
12/04/05 15:01:41 [Note]: 4006 0
12/04/05 15:01:41 [Note]: 4011 1664
12/04/05 15:01:41 [Note]: FSRAW library version 1.7.1013
12/04/05 15:02:30 [Note]: 4007 0

Kaspersky report:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, December 04, 2005 15:54:47
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 4/12/2005
Kaspersky Anti-Virus database records: 153381
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 40412
Number of viruses found: 4
Number of infected objects: 11
Number of suspicious objects: 0
Duration of the scan process: 2297 sec

Infected Object Name - Virus Name
C:\!KillBox\hp3DBD.tmp Infected: Trojan-Downloader.Win32.Zlob.br
C:\!KillBox\hp7366.tmp Infected: Trojan-Downloader.Win32.Zlob.br
C:\!KillBox\mssearchnet.exe Infected: Trojan-Downloader.Win32.Zlob.by
C:\!KillBox\msvol.tlb Infected: Trojan.Win32.Puper.bp
C:\!KillBox\nvctrl.exe Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP193\A0026121.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP193\A0026155.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP194\A0026803.exe Infected: Trojan-Downloader.Win32.Zlob.bw
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP196\A0026934.exe Infected: Trojan-Downloader.Win32.Zlob.by
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP196\A0026935.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP196\A0026938.exe Infected: Trojan.Win32.Puper.bp

Scan process completed.

mfg köla
Seitenanfang Seitenende
04.12.2005, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 köla

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


gibt es sehr wohl...du musst es finden/loeschen:
C:\WINDOWS\System32\1024
c:\windows\system32\mdmdll.exe

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Systemdrive%\mdmdll.exe /a h /s > files.txt
start notepad files.txt
- Speichern als: md.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate md.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

-----------------------------------------------------------------------------
loeschen:
C:\!KillBox\hp3DBD.tmp <---
C:\!KillBox\hp7366.tmp
C:\!KillBox\mssearchnet.exe
C:\!KillBox\msvol.tlb
C:\!KillBox\nvctrl.exe

deaktiviere die Systemwiederherstellung, boote und aktiviere sie wieder
http://virus-protect.org/systemwiederherstellung.html

scanne und poste den scanbericht (nur das Endergebnis vom Scan ;)
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 19:34
...neu hier

Themenstarter

Beiträge: 8
#5 Hallo Sabina,

hab alles so gemacht, wie du geschrieben hast, aber
C:\WINDOWS\System32\1024
c:\windows\system32\mdmdll.exe
gibt es nicht bei mir auf dem Rechner- oder nicht mehr.

Vor dem kompletten Bearbeiten hab ich den Rechner nochmal neu hochgefahren, und folgende Nachricht von Sybot erhalten:

Spybot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde. Wert gelöscht --> Änderung erlaubt.
C:\WINDOWS\System32\1024\ld3BFB.tmp
c:\windows\system32\mdmdll.exe

Beide Dateien hab ich nie gelöscht, denn ich hab sie ja nirgends! gefunden.
Aber anscheinend sind jetzt beide gelöscht.
Soll ich dieses Spybot-Programm eigentlich drauflassen?

md.bat:
Datentr„ger in Laufwerk C: ist 55-01-03
Volumeseriennummer: 9C34-8571

Scanbericht:
KSUUtil.exe C:\Programme\KODAK\KODAK Software Updater\7288971\Programm möglicherweise BACKDOOR.Trojan Umbenannt.

A0000008.exe C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}RP1 möglicherweise BACKDOOR.Trojan Umbenannt.

A0000005.tbl C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}RP1 Tojan.Popuper Gelöscht.

A0000006.exe C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}RP1 Tojan.Popuper Gelöscht.

mfg köla
Seitenanfang Seitenende
04.12.2005, 20:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 köla

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2005, 20:55
...neu hier

Themenstarter

Beiträge: 8
#7 Hallo Sabina,

panda scanreport:
Incident Status Location

Adware:adware/securityerror Not desinfected C:\Dokumente und Einstellungen\Roland\Favoriten\Antivirus Test Online.url
Adware:adware/fastvideoplayer Not desinfected C:\WINDOWS\INF\fastvideoplayer.inf
Als ich panda öffnete - ich weiß nicht ob's an dem Programm lag - kam folgende Meldung von Spybot:

...datenbank-Eintrag geändert wurde: Kategorie ActiveX Distribution Unit, Änderung Wert hinzugefügt, Eintrag {3A9307A0-7DA4-4DAF-B042-5009F29E09E1}

Soll ich die Änderung erlauben oder blockieren?

mfg köla
Seitenanfang Seitenende
05.12.2005, 01:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@köla

du musst loeschen:
C:\Dokumente und Einstellungen\Roland\Favoriten\Antivirus Test Online.url
--------------------
panda funktioniert mit ActiveX , es ist also o.k.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2005, 18:18
...neu hier

Themenstarter

Beiträge: 8
#9 Hallo Sabina,

Datei soeben gelöscht.
Es ist aber wieder ein Kodak Spam auf meinem Desktop erschienen.
Was nun?

mfg köla
Dieser Beitrag wurde am 05.12.2005 um 19:51 Uhr von köla editiert.
Seitenanfang Seitenende
06.12.2005, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@köla

forste die C:\Dokumente und Einstellungen\Roland\Favoriten\
durch und loesche alle url, die supekt sind ;)

dann: scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

und poste das neue Log vom HijackThis
-------------------------------------------------------------------

danach: installiere Firefox
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2005, 20:22
...neu hier

Themenstarter

Beiträge: 8
#11 Hallo Sabina,

Kaspersky scan repot:
Infected Object Name - Virus Name
C:\!KillBox\ld675A.tmp Infected: Trojan-Downloader.Win32.Zlob.bz
C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.bz
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP1\A0000004.exe Infected: Trojan-Downloader.Win32.Zlob.by

Hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 20:14:50, on 06.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Roland\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>;localhost
O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe

mfg köla
Seitenanfang Seitenende
07.12.2005, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12
köla


fixe mit dem HijackThis:
O2 - BHO: (no name) - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - (no file)

neustarten

loesche;
C:\!KillBox\ld675A.tmp
C:\!KillBox\mscornet.exe

deaktiviere die Systemwiederherstellung
....dann aktiviere sie wieder
http://virus-protect.org/systemwiederherstellung.html

dann scanne noch mal mit kaspersky

dann bequeme dich und mache die WindowsUpdates, oder investiere ca. 70 Euro in XP, falls deine Version es nicht zulaesst......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.12.2005, 20:11
...neu hier

Themenstarter

Beiträge: 8
#13 Hallo Sabina,

danke für Deine Hilfe!

Es scheint alles gut zu laufen, nur eine Datei findet Kaspersky immer noch:

Infected Object Name - Virus Name
C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP1\A0000017.exe Infected: Trojan-Downloader.Win32.Zlob.bz

Auf diesen Ordner wird Zugriff verweigert, und er scheint leer zu sein.

mfg köla
Seitenanfang Seitenende
10.12.2005, 18:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 deaktiviere die Systemwiederherstellung....dann aktiviere sie wieder
http://virus-protect.org/systemwiederherstellung.html

dann wird es diese Meldung nicht mehr geben ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.12.2005, 22:05
...neu hier

Themenstarter

Beiträge: 8
#15 Hallo Sabina,

keine Viren mehr gefunden, alles sauber!

Nochmals danke für deine super Hilfe!

mfg köla
Seitenanfang Seitenende