spyware detected

#0
07.12.2005, 01:00
...neu hier

Beiträge: 4
#1 mich hats auch erwischt *heul* bekomme ständig die meldung, dass mein rechner infiziert ist und als startseite kommt immer diese nervige seite http://www.updateyoursystem.com/

hab schon einiges versucht aber ich bin auch auf eure hilfe angewiesen.

hab dieses hijackthis gemacht :-)

Logfile of HijackThis v1.99.1
Scan saved at 00:59:39, on 07.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshmonitor.exe
C:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Fingerprint Sensor\ATSwpNav.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\WButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\SSH Communications Security\SSH Sentinel\Accession\ssh_accession.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Installer\hijackthis\HijackThis.exe

O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpAE9F.tmp
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SSH Accession.lnk = ?
O4 - Global Startup: SSH Sentinel Agent.lnk = ?
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programme\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Programme\SSH Communications Security\SSH Sentinel\sshmonitor.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Danke schon mal im voraus *hoff*
Seitenanfang Seitenende
07.12.2005, 13:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@doc_lecter

wende CleanUp an
http://virus-protect.org/cleanup.html

datfindbat--> kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

-----------
Info: SpyAxe
http://virus-protect.org/artikel/spyware/spyaxe.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 20:39
...neu hier

Themenstarter

Beiträge: 4
#3 schon mal dank für die zeit, die du für mich aufbringst!

habe cleanup angewendet.

hier die 4 datei von datfindbat:
was mach ich mit diesen? :-)
die liste von allen 4 datein istzu groß um es hier zu posten?!?! huch!? also die system32.txt ist riesig :-S

gruß doc
Dieser Beitrag wurde am 07.12.2005 um 20:49 Uhr von doc_lecter editiert.
Seitenanfang Seitenende
07.12.2005, 21:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich brauche nur die Daten der letzten drei/zwei Monate...die passen hier ein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 21:27
...neu hier

Themenstarter

Beiträge: 4
#5 ach ja sicher, *g* mach ich...

so: :-)


system32.txt
Verzeichnis von C:\WINDOWS\system32

07.12.2005 20:25 5.632 msvol.tlb
07.12.2005 20:25 5.384 ncompat.tlb
07.12.2005 20:25 20.480 hp1AE5.tmp
07.12.2005 20:25 24.064 ld176B.tmp
07.12.2005 10:14 4.286 ot.ico
07.12.2005 10:14 4.286 ts.ico
07.12.2005 10:14 9.708 mssearchnet.exe
07.12.2005 10:14 13.884 nvctrl.exe
05.12.2005 10:03 14.580 mscornet.exe

02.12.2005 08:28 117.360 FNTCACHE.DAT
12.11.2005 20:26 98.304 CmdLineExt.dll
12.11.2005 15:33 34.308 BASSMOD.dll
12.11.2005 15:31 2.206 wpa.dbl
10.11.2005 16:32 15.989 ConvertITP-Deutsch.GID
02.11.2005 22:54 380.684 perfh009.dat
02.11.2005 22:54 391.574 perfh007.dat
02.11.2005 22:54 53.098 perfc009.dat
02.11.2005 22:54 63.976 perfc007.dat
02.11.2005 22:54 897.954 PerfStringBackup.INI
02.11.2005 22:38 348 results.txt
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 17:50 5.531 jupdate-1.5.0_05-b05.log
27.10.2005 22:53 2.335 qtplugin.log
27.10.2005 22:32 4.704 KGyGaAvL.sys
27.10.2005 22:32 8 9DF8CC4DAF.sys
27.10.2005 21:20 0 h323log.txt
27.10.2005 21:07 146.650 BuzzingBee.wav
27.10.2005 21:07 940.794 LoopyMusic.wav

27.10.2005 20:29 302 $winnt$.inf
27.10.2005 20:26 2.951 CONFIG.NT



danke schon mal sabina :-)
Seitenanfang Seitenende
07.12.2005, 22:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 doc_lecter

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

-----------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\hpAE9F.tmp
C:\WINDOWS\system32\hp1AE5.tmp
C:\WINDOWS\system32\ld176B.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpAE9F.tmp

PC neustarten
------------------------------------------------------------------------------
Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix map
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

------------------------------------------------------------------
deinstalliere Spyaxe...falls es noch da ist

loesche:
C:\Programme\SpyAxe
C:\Windows\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

wende CleanUp an
http://virus-protect.org/cleanup.html

deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.12.2005, 22:48
...neu hier

Themenstarter

Beiträge: 4
#7 oki, muss jetzt noch mit kaspersky und panda scannen :-)
sieht schon ganz vielversprechend aus *erleichtertausmatme* puh ^^

danke dir sabina, ist echt super lieb!
Seitenanfang Seitenende
29.12.2005, 17:36
...neu hier

Beiträge: 5
#8 Hallo Sabina,

ich hab auch so einen "spyware-detected" windows-hintergrund.

Nach der Infektion gestern hat antivir und adaware ziemlich viel gelöscht, aber dieser schwarze bildschirm-hintergrund mit der dicken spyware-schlagzeile bleibt.

Außerdem funktioniert strg-alt-del nicht mehr bzw es kommt die meldung, der task-manager sei vom system-administrator abgeschaltet oder so.

Muss ich genauso voprgehen wie mein vorgänger doc-lecter?

mein datfindbat hat folgendes ergeben:
Datentr"ger in Laufwerk C: ist MAX80C
Volumeseriennummer: F803-1669

Verzeichnis von C:\WINDOWS\system32

29.12.2005 16:39 942.360 PerfStringBackup.INI
29.12.2005 16:39 71.448 perfc007.dat
29.12.2005 16:39 59.156 perfc009.dat
29.12.2005 16:39 406.534 perfh007.dat
29.12.2005 16:39 393.524 perfh009.dat
29.12.2005 10:10 15.360 mpcsvc.exe
28.12.2005 19:11 0 z13.exe
28.12.2005 19:11 0 z11.exe
28.12.2005 19:11 0 z16.exe
28.12.2005 19:11 0 z14.exe
28.12.2005 17:53 0 attrib.ini
28.12.2005 17:52 16.384 floop32.dll
28.12.2005 17:52 37.376 msupdate32.dll
28.12.2005 17:52 8.573 sachostw.exe
28.12.2005 17:52 0 hard.lck
28.12.2005 17:51 5.632 msvcrl.dll
28.12.2005 17:51 8.238 z15.exe
28.12.2005 17:51 7.188 paytime.exe
28.12.2005 17:48 7.200 z12.exe
28.12.2005 17:48 8.005 cmd32.exe

21.12.2005 17:09 2.206 wpa.dbl
30.10.2005 18:48 131.688 FNTCACHE.DAT

Datentr"ger in Laufwerk C: ist MAX80C
Volumeseriennummer: F803-1669

Verzeichnis von C:\DOKUME~1\jak\LOKALE~1\Temp

Datentr"ger in Laufwerk C: ist MAX80C
Volumeseriennummer: F803-1669

Verzeichnis von C:\WINDOWS

29.12.2005 16:58 1.453 AVerDVBT.ini
29.12.2005 16:58 156 wiadebug.log
29.12.2005 16:41 529.439 WindowsUpdate.log
29.12.2005 16:35 0 0.log
29.12.2005 16:35 2.048 bootstat.dat
29.12.2005 11:53 116 NeroDigital.ini
29.12.2005 10:08 754 wincmd.ini
28.12.2005 21:11 32.566 SchedLgU.Txt
28.12.2005 21:11 50 wiaservc.log
28.12.2005 17:53 1.430 warnhp.html
28.12.2005 17:52 2.033 hosts
28.12.2005 17:52 31.376 tool5.exe
28.12.2005 17:52 68.608 tool4.exe
28.12.2005 17:51 58.368 tool1.exe
28.12.2005 17:51 28.611 sachostx.exe
28.12.2005 17:51 3.097 sysldr32.exe
28.12.2005 17:48 72.809 kl.exe
28.12.2005 17:48 0 uniq

25.12.2005 20:17 961 PVAStrumento.ini
23.12.2005 19:09 580.732 setupapi.log
16.12.2005 19:31 100 KERt_PRF.INI
05.12.2005 19:12 516 win.ini
01.11.2005 08:28 42.085 Run32A50.mch
01.11.2005 08:28 35 A5W.INI

Datentr"ger in Laufwerk C: ist MAX80C
Volumeseriennummer: F803-1669

Verzeichnis von C:\

29.12.2005 17:13 0 sys.txt
29.12.2005 17:12 8.065 system.txt
29.12.2005 17:11 124 systemtemp.txt
29.12.2005 17:07 99.627 system32.txt
29.12.2005 16:35 1.073.270.784 hiberfil.sys
29.12.2005 16:35 805.306.368 pagefile.sys
28.12.2005 17:48 8.005 boot.inx
26.12.2005 20:12 0 demux_log.txt
01.03.2005 16:02 0 AUTOEXEC.BAT
01.03.2005 16:02 0 CONFIG.SYS
01.03.2005 16:02 0 IO.SYS
01.03.2005 16:02 0 MSDOS.SYS
01.03.2005 15:53 211 boot.ini
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
18.08.2001 12:00 4.952 bootfont.bin
16 Datei(en) 1.878.996.884 Bytes
0 Verzeichnis(se), 1.561.698.304 Bytes frei


Soll ich jetzt also mit mcor und spyaxe usw genauso vorgehen, wie oben beschrieben?
Oder geht das bei mir einfacher, ohne soviel cleanup und neustart und auch noch protected-mode?

Derzeit funktioniert der PC wieder einwandfrei - bis auf
1) den schwarzen desktop mit dem fetten Link:
Spyware detected on your computer!Install an antivirus or spyware remover
to clean your computer.
→ View the list of top spyware removers here ←
(das verlinkt beim anklicken nach www.teslaplus.com. Und er lässt sich nicht so einfach über die system-einstellungen wegschaffen, denn da erscheint er gar nicht)

und 2) den deaktivierten taskmanager; das ist schon ärgerlicher.

noch was: ich benutze win xp sp2

vielen dank für die hilfe auf dieser Seite,
martin
Dieser Beitrag wurde am 29.12.2005 um 18:12 Uhr von martin0reg editiert.
Seitenanfang Seitenende
29.12.2005, 18:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 martin0reg

gehe in due registry

Start--> Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet

FriendlyName" = "Warning homepage"<--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System


DisableTaskMgr = "dword:00000001" --> aendere in 0
DisableRegistryTools = "dword:00000001" --> aendere in 0

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\mpcsvc.exe
C:\WINDOWS\system32\z13.exe
C:\WINDOWS\system32\z11.exe
C:\WINDOWS\system32\z16.exe
C:\WINDOWS\system32\z14.exe
C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\floop32.dll
C:\WINDOWS\system32\msupdate32.dll
C:\WINDOWS\system32\sachostw.exe
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\z15.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\z12.exe
C:\WINDOWS\system32\cmd32.exe

C:\WINDOWS\warnhp.html
C:\WINDOWS\hosts
C:\WINDOWS\tool5.exe
C:\WINDOWS\tool4.exe
C:\WINDOWS\tool1.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq
C:\boot.inx

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

scanne mit kaspersky
und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2005, 20:08
...neu hier

Beiträge: 5
#10 sabina, schonmal vielen dank für die hilfe!

Den schwarzen desktop-hintergrund mit der fetten warnung konnte man auch mit einem klitzekleinen abschalt-kreuz am obersten Bildschirmrand entfernen; war aber erst zu sehen, wenn man an mit dem mauszeiger an die bildschirm-oberkante tippte.
Den taskmanager hab ich nach deiner anleitung in der registry wieder aktivieren können.

Von den dateien, die ich mit killbox löschen sollte, war nur noch c:\boot.inx übrig. Die hab ich normal gelöscht und dann den papierkorb geleert. Ob das reicht? Nach dem nächsten neustart werd ichs merken.

Restore original hosts hab ich gemacht. (Wofür war das?)



Ergebnis von hijack:

Logfile of HijackThis v1.99.1
Scan saved at 19:33:52, on 29.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVerTV DVB-T\QuickDVB-T.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\software\AblageSoftware11.04etc\WinPC-Basics\Viren+spyware\hijackthis\HijackThis.exe

O3 - Toolbar: Pictures - {8E929F51-5914-11D6-971F-0050FC3F9161} - C:\Programme\Pictures Toolbar\Pictures.dll
O4 - HKLM\..\Run: [QuickDVBT] C:\Programme\AVerTV DVB-T\QuickDVB-T.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://E:\components\wmvhdrating.ocx
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install2.5/Installer.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe



Mit dem online-virus-scan kam ich nicht weiter. Nur einzelne dateien? Mit active-x-fenster? Jedenfalls meldet mein antivir-scanner keine verdächtige datei mehr.

bis dann,
martin
Seitenanfang Seitenende
29.12.2005, 20:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 martin0reg

öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

PC neustarten

kopiere hier das log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2005, 20:44
...neu hier

Beiträge: 5
#12 sabina,

jetzt hab ich erst vor die hijack-einträge:

O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://E:\components\wmvhdrating.ocx
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install2.5/Installer.exe

die häkchen gesetzt und gefixt. neu gestartet. einträge sind gelöscht.

soll

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

ebenso gelöscht werden? (hab ich jetzt erst so verstanden, bin kein fachmann)


PS: Außerdem wundere ich mich über die 27 running processes nach dem start..
Seitenanfang Seitenende
29.12.2005, 20:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 fixe mit hijackThis genau das, was ich geschrieben hatte

Zitat

öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

PC neustarten
kopiere hier das log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2005, 21:14
...neu hier

Beiträge: 5
#14 okay, ich hab

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

ebenfalls gefixt/gelöscht.



silentrunner-ergebnis:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" ["Lavasoft Sweden"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"QuickDVBT" = "C:\Programme\AVerTV DVB-T\QuickDVB-T.exe" ["AVerMedia Technologies, Inc."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"WIAWizardMenu" = "RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer8\rpshell.dll" ["RealNetworks, Inc."]
"{29e3fb5b-cf62-45b5-b8bf-1ad500385fc7}" = "Shell Context Menu Handler for Application References"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{29e3fb5b-cf62-45b5-b8bf-1ad500385fc6}" = "Shell Context Menu Handler for Application Manifests"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


PS: ich bitte um nachsicht für dumme rückfragen und bedanke mich herzlich.
Ist noch was faul am scan?
martin
Seitenanfang Seitenende
29.12.2005, 21:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 irgendwie ist das Log so kurz...kannst du alles hier kopieren???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: