Pharmacy,xxx,...Toolbar und zpmodemnt.sys-Meldung nach Infizierung

#0
13.12.2005, 18:46
...neu hier

Beiträge: 1
#1 Hallo,

ich hatte mir diese Sache mit der Toolbar auf dem Desktop eingefangen und nach einer Anweisung, die ich hier gefunden hatte, repariert (oder auch nicht) - Anweisung siehe http://board.protecus.de/t20617.htm

Ich bin ein ziemliches Greenhorn in diesen Sachen und bin wie folgt vorgegangen.

1) Mit "datfindbat" 4 Listen erstellt, sowie Blacklight
2) CCleaner installiert, gescannt und alle temporären Dateien (303 MB) gelöscht
3) Böacklight hatte 7 exe-Dateien gefunden. wbemtest.exe - nicht gelöscht, jedoch gelöscht: favset.exe, filesafer23.exe, dmxxk.exe, howiper.exe, pppcgm.exe, cszst.exe.
4) fixreder.reg habe ich auch gemacht - obwohl ich keinen Schimmer habe, was ich da gemacht habe.
5) Habe mit dieser Killbox auch anderes gelöscht, wie die bmp´s und idesk.conf

Grobe Anlehnung meiner "Arbeit" an http://virus-protect.org/artikel/spyware/idemlog.html

Ok...Nun finde ich diese eigenartigen exe-Dateien nicht mehr (Blackligjht auch nicht) und hoffte eigentlich, es wäre jetzt alles in Ordnung.
Allerdings bekomme ich jetzt bei jedem Start die meldung, daß ein Gerätetreiber nicht gefunden werden kann, nämlich: c:/winnt/system32/drivers/zpmodemnt.sys (unter google krieg ich für "zpmodemnt" nur 2 Anzeigen). Diese sys-Datei kann ich bei der "Suchen"-Funktion allerdings finden.

Fragen:

1)Was mache ich mit der Datei zpmodemnt.sys? Einfach löschen?

2) Wieso kommt diese Meldung beim Start, daß die Datei nicht gefunden wird (obwohl sie wohl da ist) und was wenn ich lösche? Kommt die Meldung dann erst recht?

3) Ist mein Computer jetzt eigentlich sauber??? Oder wiege ich mich im falscher Hoffnung und ich werde ausspioniert oder so was...?

4) Was installiere ich am besten von diesem Programmen und wie oft führe ich sie aus (z.B. Blacklight, CCleaner,..)?

Hier meine aktuellen logs (falls die benötigt werden sollten):

1. Log (alles nach dem 9.12. habe ich ja mittlerweile gelöscht-hatte noch mehrere bmp´s und die idesk.conf)

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 3E51-45AF

Verzeichnis von C:\WINNT\system32

09.12.2005 12:14 7.006 jupdate-1.5.0_06-b05.log
07.12.2005 16:27 274.486 IS3DBA.dll
07.12.2005 16:26 45.110 IS3VFS.dll
07.12.2005 16:25 340.021 IS3UI.dll
07.12.2005 16:25 49.208 IS3Hooks.dll
07.12.2005 16:25 81.976 IS39XLdr.dll
07.12.2005 16:25 32.768 IS3XData.dll
07.12.2005 16:25 127.032 IS3Win32.dll
07.12.2005 16:25 65.591 IS3Inet.dll
07.12.2005 16:24 65.590 IS3Svc.dll
07.12.2005 16:24 487.479 IS3Base.dll
01.12.2005 11:58 176.167 rmoc3260.dll
01.12.2005 11:58 5.632 pndx5032.dll
01.12.2005 11:58 6.656 pndx5016.dll
01.12.2005 11:58 278.528 pncrt.dll

2.log

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 3E51-45AF

Verzeichnis von C:\DOKUME~1\KARLSB~1\LOKALE~1\Temp

13.12.2005 13:49 618 jusched.log
13.12.2005 13:13 704 kb.log
13.12.2005 11:44 16.384 ~DF44F0.tmp
13.12.2005 11:28 16.384 ~DFCB5E.tmp
13.12.2005 10:08 16.384 ~DFC167.tmp
5 Datei(en) 50.474 Bytes
0 Verzeichnis(se), 3.722.326.016 Bytes frei

3. log

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 3E51-45AF

Verzeichnis von C:\WINNT

13.12.2005 13:45 107.132 UninstallFirefox.exe
13.12.2005 13:45 8.433 mozver.dat
13.12.2005 13:34 14.206 ntbtlog.txt
13.12.2005 13:33 32.610 SchedLgU.Txt
12.12.2005 21:15 4.517 rdt.ini
12.12.2005 13:47 121 Winamp.ini
11.12.2005 21:52 49 NeroDigital.ini
08.12.2005 16:43 1.478 wmsetup.log
08.12.2005 16:43 428.960 setupapi.log
30.11.2005 15:38 470 win.ini
30.11.2005 15:38 316.640 WMSysPr9.prx

4.log

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 3E51-45AF

Verzeichnis von C:\

13.12.2005 18:57 0 sys.txt
13.12.2005 18:56 5.297 system.txt
13.12.2005 18:55 494 systemtemp.txt
13.12.2005 18:53 98.498 system32.txt
13.12.2005 13:38 402.653.184 pagefile.sys
13.12.2005 13:07 187.754 hpfr5550.log
11.12.2005 12:37 335.757 DSC01646.JPG

Blacklight findet aktuell nicht (no hidden items found)

Wenn ihr noch andere Daten benötigt, bitte Bescheid geben.

Vielen Dank schon mal für Eure Hilfe!!!!!!

Hier noch der aktuelle Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 22:51:23, on 13.12.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\STOPzilla!\SZServer.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\STOPzilla!\STOPzilla.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KARLSB~1\LOKALE~1\Temp\Rar$EX00.187\HijackThis.exe
C:\DOKUME~1\KARLSB~1\LOKALE~1\Temp\Rar$EX38.078\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Programme\STOPzilla!\SZIEBHO.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [STOPzilla] C:\Programme\STOPzilla!\STOPzilla.exe /autostart
O4 - HKLM\..\Run: [dmxxk.exe] C:\WINNT\System32\dmxxk.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FB961F7-F831-4448-86F0-9AAEC5289C8A}: NameServer = 85.255.113.93,85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{A471514B-9D0C-439C-A2F2-EBFE920C59D3}: NameServer = 85.255.113.93,85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB93C448-2C1D-446F-BA03-A9B4D84092B3}: NameServer = 85.255.113.93,85.255.112.23
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FB961F7-F831-4448-86F0-9AAEC5289C8A}: NameServer = 85.255.113.93,85.255.112.23
O17 - HKLM\System\CS2\Services\Tcpip\..\{0FB961F7-F831-4448-86F0-9AAEC5289C8A}: NameServer = 85.255.113.93,85.255.112.23
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: STOPzilla Service (szserver) - Unknown owner - C:\Programme\Gemeinsame Dateien\STOPzilla!\SZServer.exe
Dieser Beitrag wurde am 14.12.2005 um 09:54 Uhr von kb2005 editiert.
Seitenanfang Seitenende