TR/Favadd.an.2 und TR/Dldr.Agent.uj.1

#1 Hallo zusammen!

Nun ist es bei mir leider auch mal wieder soweit: ein (oder sogar zwei!?) Trojaner haben sich eingenistet:

TR/Favadd.an.2 und TR/Dldr.Agent.uj.1

Gefunden habe ich sie beim durchlauf von Spybot S&D mit AntiVir Guard.
Außerdem hat Spybot noch folgendes gefunden (und laut Spybot auch gelöscht):

PIPAS.A

Was muss ich posten, damit mir jemand helfen könnte?

Danke im Voraus!!!

#2 grainne
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!

Vielen Dank für Deine Antwort!

F-secure:

12/13/05 18:35:44 [Info]: BlackLight Engine 1.0.29 initialized
12/13/05 18:35:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/13/05 18:35:44 [Note]: 7019 4
12/13/05 18:35:44 [Note]: 7005 0
12/13/05 18:35:47 [Note]: 7006 0
12/13/05 18:35:47 [Note]: 7011 900
12/13/05 18:35:48 [Note]: FSRAW library version 1.7.1013
12/13/05 18:36:33 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/13/05 18:36:34 [Note]: 10002 1
12/13/05 18:36:36 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/13/05 18:36:36 [Note]: 10002 1
12/13/05 18:36:41 [Info]: Hidden file: C:\WINDOWS\system32\dmbfd.exe
12/13/05 18:36:41 [Note]: 7002 32
12/13/05 18:36:41 [Note]: 7003 1
12/13/05 18:36:41 [Note]: 10002 1
12/13/05 18:36:45 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/13/05 18:36:45 [Note]: 10002 1
12/13/05 18:36:50 [Info]: Hidden file: C:\WINDOWS\system32\cschv.exe
12/13/05 18:36:50 [Note]: 7002 32
12/13/05 18:36:50 [Note]: 7003 1
12/13/05 18:36:50 [Note]: 10002 1
12/13/05 18:36:51 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/13/05 18:36:51 [Note]: 10002 1
12/13/05 18:52:39 [Note]: 7007 0


HijackThis:

Logfile of HijackThis v1.98.2
Scan saved at 18:52:54, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Program Files\FU Hagen\FU Client\cvpnd.exe
C:\Programme\F-Secure Internet Security\fswsclds.exe
C:\windows\System32\svchost.exe
C:\windows\system32\wdfmgr.exe
C:\windows\System32\alg.exe
C:\windows\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org1.0\program\soffice.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.spiegel.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=home.tiscali.dk;gopher=proxy.tiscali.dk;http=proxy.tiscali.dk:8080;https=proxy.tiscali.dk
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [dmbfd.exe] C:\windows\system32\dmbfd.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.0.lnk = C:\Programme\OpenOffice.org1.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FernUniHagen FU Client.lnk = C:\Program Files\FU Hagen\FU Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.dk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121935641625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab

Grüße aus Dänemark!
grainne

#4 grainne

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [dmbfd.exe] C:\windows\system32\dmbfd.exe

PC neustarten

starte blacklight nochmal
doppelklick: blbeta.exe
klicke auf "next" --> Step 2 --> Cleaning)

und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blaklight den Rechner neu starten.
Bitte schicke die umbenannten Dateien, sie heissen jetzt z.B. C:\WINDOWS\system32\hlmicro.exe.ren anstatt C:\WINDOWS\system32\hlmicro.exe

an virus@protecus.de (vorher zippen und dann auch die mail bezeichnen)

-----------------------------------------------------------

poste das Log vom silentrunner
http://virus-protect.org/silentrunner.html

datfindbat (poste die 4 Textdateien)
http://virus-protect.org/datfindbat.html


------------------------------------------------------------

TR/Favadd.an.2 und TR/Dldr.Agent.uj.1
http://virus-protect.org/artikel/spyware/idemlog.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 silentrunner:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe" ["Symantec Corporation"]
"CTFMON.EXE" = "C:\windows\system32\ctfmon.exe" [MS]
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"TkBellExe" = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot" ["RealNetworks, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"dmihe.exe" = "C:\windows\system32\dmihe.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\windows\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\windows\system32\Audiodev.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csrua.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\windows\System32\sspipes.scr" [MS]


Startup items in "Besitzer" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Startmenü\Programme\Autostart
"OpenOffice.org 1.0" -> shortcut to: "C:\Programme\OpenOffice.org1.0\program\quickstart.exe" [null data]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"FernUniHagen FU Client" -> shortcut to: "C:\Program Files\FU Hagen\FU Client\vpngui.exe "-user_logon"" ["Cisco Systems, Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Meinen Computer prüfen" -> launches: "C:\PROGRA~1\NORTON~1\NAVW32.exe /task:C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca" [file not found]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.tiscali.dk

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Cisco Systems, Inc. VPN Service, CVPND, ""C:\Program Files\FU Hagen\FU Client\cvpnd.exe"" ["Cisco Systems, Inc."]
F-Secure Windows Security Center Legacy Detection Service, Fswsclds, "C:\Programme\F-Secure Internet Security\fswsclds.exe" ["F-Secure Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\windows\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i455\Driver = "CNMLM5i.DLL" ["CANON INC."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 74 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 35 seconds.
---------- (total run time: 169 seconds)

datfindbat

Verzeichnis von C:\WINDOWS\system32

12.12.2005 23:05 16.832 amcompat.tlb
12.12.2005 23:05 23.392 nscompat.tlb
11.12.2005 07:36 654.111 filesafer23.exe.ren
11.12.2005 07:36 109.568 idemlog.exe.ren
11.12.2005 07:35 45.568 pppcgm.exe.ren
11.12.2005 07:35 51.200 csrua.exe.ren
10.12.2005 07:55 14.460 mscornet.exe
28.11.2005 10:33 2.206 wpa.dbl
09.11.2005 11:11 232.776 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 06:42 311.604 perfh009.dat
30.10.2005 06:42 39.992 perfc009.dat
30.10.2005 06:42 316.594 perfh007.dat
30.10.2005 06:42 48.156 perfc007.dat
30.10.2005 06:42 723.744 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

------------------------------------------------------------
Verzeichnis von C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp

14.12.2005 11:40 412 jusched.log
13.12.2005 12:16 16.384 ~DF24F6.tmp
13.12.2005 12:16 16.384 ~DFC919.tmp
3 Datei(en) 33.180 Bytes
0 Verzeichnis(se), 11.410.505.728 Bytes frei

--------------------------------------------------------------


Verzeichnis von C:\WINDOWS

14.12.2005 11:48 1.134.195 WindowsUpdate.log
14.12.2005 11:40 0 0.log
14.12.2005 11:39 159 wiadebug.log
14.12.2005 11:39 50 wiaservc.log
14.12.2005 11:39 2.048 bootstat.dat
14.12.2005 11:38 32.414 SchedLgU.Txt
13.12.2005 16:57 2.649 cdplayer.ini
13.12.2005 12:15 43.894 wmsetup.log
12.12.2005 23:07 459 wmsetup10.log
12.12.2005 23:06 364.581 setupapi.log
12.12.2005 23:05 116 win.ini
12.12.2005 23:03 316.640 WMSysPr9.prx
02.12.2005 05:57 3.916 ModemLog_Creatix V.90 HAM Data Fax Modem.txt
12.11.2005 05:38 400 ODBC.INI
09.11.2005 11:14 2.200 OEWABLog.txt
09.11.2005 10:10 94.471 iis6.log
09.11.2005 10:10 128.573 ntdtcsetup.log
09.11.2005 10:10 213.077 comsetup.log
09.11.2005 10:10 27.858 ocmsn.log
09.11.2005 10:10 1.374 imsins.log
09.11.2005 10:10 236.491 tsoc.log
09.11.2005 10:10 11.853 KB896424.log
09.11.2005 10:10 309.891 ocgen.log
09.11.2005 10:10 30.294 msgsocm.log
09.11.2005 10:10 603.763 FaxSetup.log
09.11.2005 10:10 23.403 updspapi.log
22.10.2005 13:35 1.033 IE4 Error Log.txt
19.10.2005 13:25 26 zip995.ini
15.10.2005 16:50 1.393 imsins.BAK
15.10.2005 16:50 22.776 KB901017.log
15.10.2005 16:49 25.198 KB902400.log
15.10.2005 16:49 18.580 KB896688.log
15.10.2005 16:48 14.323 KB905414.log
15.10.2005 16:48 13.988 KB900725.log
15.10.2005 16:48 16.612 KB904706.log
15.10.2005 16:48 12.027 KB905749.log
14.09.2005 10:00 48 wpd99.drv
13.09.2005 17:21 1.080 AUTOLNCH.REG
07.09.2005 21:07 12.496 MSPuzzle.dat

-----------------------------------------------------------

Verzeichnis von C:\

14.12.2005 12:00 0 sys.txt
14.12.2005 11:59 11.421 system.txt
14.12.2005 11:58 388 systemtemp.txt
14.12.2005 11:55 93.736 system32.txt
14.12.2005 11:39 0 Log.txt
14.12.2005 11:39 266.915.840 hiberfil.sys
14.12.2005 11:39 402.653.184 pagefile.sys
17.09.2004 15:40 47.564 NTDETECT.COM
17.09.2004 15:40 251.184 ntldr
10.03.2002 15:45 0 IO.SYS
10.03.2002 15:45 0 MSDOS.SYS
18.08.2001 13:00 4.952 bootfont.bin
12 Datei(en) 669.978.269 Bytes
0 Verzeichnis(se), 11.410.493.440 Bytes frei

----------------------------------------------------------

Hoffe, ich habe jetzt nichts vergessen...!?

Danke!!

grainne

#6 ---------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

----------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmihe.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

---------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\filesafer23.exe.ren
C:\WINDOWS\system32\idemlog.exe.ren
C:\WINDOWS\system32\pppcgm.exe.ren
C:\WINDOWS\system32\csrua.exe.ren
C:\WINDOWS\system32\mscornet.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

fixme.reg
mcor.reg
spyaxe.reg

auf dem Desktop doppelklicken und der Registry beifuegen

---------------------------------------------------------------------
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
laden --> botte in den abgesicherten Modus --> öffne smitRem folder--> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
kopiere die smitfiles.txt ab nach dem scan ab und poste sie hier

-------------------------------------------------------------------
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7

Zitat

Sabina postete


---------------------------------------------------------------------------
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

----------------------------------------------------------------------

Ok, habe ich gemacht.

---------------------------------------------------------------------
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Aus irgendeinem Grund lässt sich mein Editor nicht öffnen! Woran könnte das liegen??

Grüße, grainne

#8 ich habe die reg erstellt....allerdings ist mein Server im Moment down......

http://virus-protect.org/reg/janie.reg
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

Sabina postete
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren: was sollte ich hier reinkopieren?
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

Danke für's Erstellen der reg!

grainne

#10 C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\filesafer23.exe.ren
C:\WINDOWS\system32\idemlog.exe.ren
C:\WINDOWS\system32\pppcgm.exe.ren
C:\WINDOWS\system32\csrua.exe.ren
C:\WINDOWS\system32\mscornet.exe

kopiere das in die Killbox oder loesche es manuell

dann arbeite alles weiterte ab + http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11

Zitat

Sabina postete
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\filesafer23.exe.ren
C:\WINDOWS\system32\idemlog.exe.ren
C:\WINDOWS\system32\pppcgm.exe.ren
C:\WINDOWS\system32\csrua.exe.ren
C:\WINDOWS\system32\mscornet.exe

kopiere das in die Killbox oder loesche es manuell

dann arbeite alles weitere ab + http://virus-protect.org/cureit.html

__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo Sabina!

Vielen Dank! Ich bin jetzt erst einmal im Weihnachtsurlaub und muss mich dann im neuen Jahr wieder drum kümmern...
In diesem Sinne: eine schöne Weihnachtszeit und alles Gute für 2006!

Viele Grüße,
grainne

#13 Hallo Sabina!

Ein gutes neues Jahr 2006!

Hier die logfiles:

SmitRem

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1812 'explorer.exe'
Killing PID 1812 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!
********************************************************
Kaspersky
...kommt noch (läuft gerade)!
*********************************************************

Viele Grüße,
grainne

#14 grainne

kopiere dann den scanreport ab
+

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -->kopiere die txt-Datei ins Forum
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ohje, das sieht gar nicht gut aus!

Hier der Kaspersky-Scan (wo kommen nur all' diese Würmer her!?!?):

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, January 03, 2006 10:02:57
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 3/01/2006
Kaspersky Anti-Virus database records: 158524
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 41141
Number of viruses found: 7
Number of infected objects: 17
Number of suspicious objects: 2
Duration of the scan process: 3971 sec

Infected Object Name - Virus Name
C:\!KillBox\csrua.exe.ren Infected: Trojan-Downloader.Win32.Agent.uj
C:\!KillBox\idemlog.exe.ren Infected: Backdoor.Win32.Agent.rw
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From slrncb5057.cvi.lutz@belenus.iks-jena.de][Date Mon, 2 Jan 2006 16:41:02 +0100]/UNNAMED/html Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From slrncb5057.cvi.lutz@belenus.iks-jena.de][Date Mon, 2 Jan 2006 16:41:02 +0100]/UNNAMED Suspicious: Exploit.HTML.Iframe.FileDownload
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From slrncb5057.cvi.lutz@belenus.iks-jena.de][Date Mon, 2 Jan 2006 16:41:02 +0100]/message.scr Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From nc-ueberbka@netcologne.de][Date Mon, 2 Jan 2006 16:41:01 +0100]/UNNAMED/letter.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From nc-ueberbka@netcologne.de][Date Mon, 2 Jan 2006 16:41:01 +0100]/UNNAMED/letter.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From nc-ueberbka@netcologne.de][Date Mon, 2 Jan 2006 16:41:01 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eam211@arbeitsagentur.de][Date Sun, 1 Jan 2006 12:42:18 +0100]/UNNAMED/part6.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eam211@arbeitsagentur.de][Date Sun, 1 Jan 2006 12:42:18 +0100]/UNNAMED/part6.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eam211@arbeitsagentur.de][Date Sun, 1 Jan 2006 12:42:18 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eam211@arbeitsagentur.de][Date Sun, 1 Jan 2006 12:42:18 +0100]/UNNAMED/part6.zip/details.txt .pif Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eam211@arbeitsagentur.de][Date Sun, 1 Jan 2006 12:42:18 +0100]/UNNAMED/part6.zip Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eam211@arbeitsagentur.de][Date Sun, 1 Jan 2006 12:42:18 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.q
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Anwendungsdaten\Identities\{9212C34C-9DCC-44D0-8C70-FDCFAD043215}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Email-Worm.Win32.NetSky.q
C:\System Volume Information\_restore{A10E0664-29BB-4AE4-AA27-EDC40B053CEF}\RP91\A0044785.exe Infected: Backdoor.Win32.Agent.rw
C:\WINDOWS\Downloaded Program Files\new-de.0xe Infected: Trojan.Win32.Dialer.e
C:\WINDOWS\system32\C34B8S.0LL Infected: Trojan-Dropper.Win32.Small.eq
C:\WINDOWS\system32\dmihe.exe.ren Infected: Trojan.Win32.DNSChanger.aw

Scan process completed.

*********************************************************

Hier ist der log von Fixwareout:

Fixwareout ver 1.003
Last edited 12/5/2005
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ehimd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\DMIHEE~1.REN

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

****************************************************
Viele Grüße,
grainne