unspypc - computer befallen ... Spyware Toolbar |
||
---|---|---|
#0
| ||
02.01.2006, 13:05
Ehrenmitglied
Beiträge: 29434 |
||
|
||
03.01.2006, 11:46
Member
Themenstarter Beiträge: 15 |
#17
in meinem Ordner C:\Programme\Norton AntiVirus\Quarantine\
sind 3MB Eintragungen die habe ich hier in der Liste gelöscht ansonsten noch das folgende ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Tuesday, January 03, 2006 11:33:50 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 3/01/2006 Kaspersky Anti-Virus database records: 158521 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ M:\ V:\ Scan Statistics: Total number of scanned objects: 197214 Number of viruses found: 43 Number of infected objects: 19974 Number of suspicious objects: 67 Duration of the scan process: 9026 se Infected Object Name - Virus Name C:\Programme\Norton AntiVirus\Quarantine\7FFB6D57.TMP Infected: Email-Worm.Win32.Sober.p C:\Programme\Norton AntiVirus\Quarantine\7FFF1DCE.TMP Infected: Trojan-Downloader.Java.OpenStream.v C:\System Volume Information\_restore{302D5EC9-2E79-4F3D-A736-A344D712BA17}\RP350\A0081463.dll Infected: Trojan-Clicker.Win32.Small.f G:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ihpe.dll Infected: Trojan-Clicker.Win32.Small.f G:\System Volume Information\_restore{302D5EC9-2E79-4F3D-A736-A344D712BA17}\RP350\A0081464.dll Infected: Trojan-Clicker.Win32.Small.f Scan process completed. |
|
|
||
03.01.2006, 15:57
Ehrenmitglied
Beiträge: 29434 |
#18
loesche mit der killbox:
G:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ihpe.dll C:\System Volume Information\_restore{302D5EC9-2E79-4F3D-A736-A344D712BA17}\RP350\A0081463.dll G:\System Volume Information\_restore{302D5EC9-2E79-4F3D-A736-A344D712BA17}\RP350\A0081464.dll SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) ------------------------------------------------------------------------- Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt--> hier posten -------------------------------------------------------------------------- scanne und berichte (du musst es wahrscheinlich abtippen ...) http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.01.2006, 21:05
Member
Themenstarter Beiträge: 15 |
#19
Fixwareout ver 1.003
Last edited 12/5/2005 Post this report in the forums please Reg Entries that were deleted PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... C:\WINDOWS\SYSTEM32\DMQJN.EXE C:\WINDOWS\SYSTEM32\CSZTBE~1.REN C:\WINDOWS\SYSTEM32\DMWDIE~1.REN C:\WINDOWS\SYSTEM32\FAVSET~1.REN C:\WINDOWS\SYSTEM32\FILESA~1.REN »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool ---------------------------------------------------------------------------- Dr Web: GetAccess.class-5ff3c5e0-6a727826.class * Exploit.Byte Verify * gelöscht SunProtectionServer.exe * mögl. BackdoorTrojan * Umbenannt A0081322.exe * Trojan.Click.526 * Gelöscht A0081323.exe * Trojan.Fakealert * Gelöscht A0082519.exe * mögl. Backdoor trojan * umbenannt googlenav.dll * mögl. DLOADER.Trojan * umbenannt je mehr Programme du mir zum scannen gibst um so mehr Viren werden gefunden..... Dieser Beitrag wurde am 03.01.2006 um 23:15 Uhr von TKHeidt editiert.
|
|
|
||
04.01.2006, 01:00
Ehrenmitglied
Beiträge: 29434 |
#20
nun ja...einerseits werden die umbenannten ren-Dateien gefunden und dann noch einige andere (DMQJN.EXE), die ich selbst nicht in der datfinddat sehen konnte.
GetAccess.class-5ff3c5e0-6a727826.class ist ein Java-Sript...in den temporaeren Dateien, so ist die Malware ueber aktiviertes Java auf deinen PC gekommen.... deaktiviere die systemwiederherstellung...boote und aktiviere sie wieder. http://virus-protect.org/systemwiederherstellung.html das ist wichtig Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt--> hier posten scanne mit panda und berichte.... http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.01.2006, 09:59
Member
Themenstarter Beiträge: 15 |
#21
Logfile of HijackThis v1.99.1
Scan saved at 09:50:27, on 04.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\wuauclt.exe C:\fixwareout\SUB\BFU.exe G:\Plug ins aus dem WWW\HijackThis\hijackthis\hijackthis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.muxa.cc/h.php?aid=551 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ? O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ? O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://bba.bloomberg.net/Citrix/ICAWEB/en/ica32/wficat.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.fr/svideo3.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab O23 - Service: mserv.exe (anem) - Unknown owner - C:\WINDOWS\mserv.exe (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe ***************************************************************************** Fixwareout ver 1.003 Last edited 12/5/2005 Post this report in the forums please Reg Entries that were deleted PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... C:\WINDOWS\SYSTEM32\DMQJN.EXE C:\WINDOWS\SYSTEM32\CSZTBE~1.REN C:\WINDOWS\SYSTEM32\DMWDIE~1.REN C:\WINDOWS\SYSTEM32\FAVSET~1.REN C:\WINDOWS\SYSTEM32\FILESA~1.REN »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool ******************************************************************************** Panda Incident Status Location Adware:adware/stoolbar Not desinfected Windows Registry Adware:Adware/ToolbarCC Not desinfected C:\!KillBox\A0081463.dll Adware:Adware/ToolbarCC Not desinfected C:\!KillBox\A0081464.dll Adware:Adware/ToolbarCC Not desinfected C:\!KillBox\ihpe.dll Adware:Adware/ToolbarCC Not desinfected C:\Daten\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ihpe.dll Possible Virus. Not desinfected C:\WINDOWS\system32\csztb.exe.ren Dieser Beitrag wurde am 04.01.2006 um 11:36 Uhr von TKHeidt editiert.
|
|
|
||
04.01.2006, 14:19
Ehrenmitglied
Beiträge: 29434 |
#22
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.muxa.cc/h.php?aid=551 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated) O23 - Service: mserv.exe (anem) - Unknown owner - C:\WINDOWS\mserv.exe (file missing) kopiere in die killbox C:\Daten\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ihpe.dll C:\WINDOWS\system32\csztb.exe.ren pc neustarten leere die killbox C:\!KillBox\A0081463.dll C:\!KillBox\A0081464.dll C:\!KillBox\ihpe.dll Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: mserv.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) -------------------------- http://virus-protect.org/multiavtool.html klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ poste bitte die scanreporte (3) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.01.2006, 21:17
Member
Themenstarter Beiträge: 15 |
#23
Virus Scan Report File
Virus Scan Information McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4668 created Jan 05 2006 Scanning for 169169 viruses, trojans and variants. Virus Scan Results 01/05/2006 21:08:57 Options: "C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [53_01_02] C:\WINDOWS\SYSTEM32\dmqjn.exe ... Found the Downloader-ARR trojan !!! The file or process has been deleted. C:\WINDOWS\SYSTEM32\dmwdi.exe.ren ... Found the Downloader-ARR trojan !!! The file or process has been deleted. Scanning C:\WINDOWS\SYSTEM32\*.* Summary report on C:\WINDOWS\SYSTEM32\*.* File(s) Total files: ........... 7535 Clean: ................. 7523 Possibly Infected: ..... 2 Cleaned: ............... 0 Deleted: ............... 2 Non-critical Error(s): 1 Time: 00:06.52 ************************************************************ Virus Scan Report File Virus Scan Information McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4668 created Jan 05 2006 Scanning for 169169 viruses, trojans and variants. Virus Scan Results 01/05/2006 21:17:18 Options: "C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [53_01_02] Scanning C:\WINDOWS\*.* Summary report on C:\WINDOWS\*.* File(s) Total files: ........... 71638 Clean: ................. 71627 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:23.08 ************************************************************ Dieser Beitrag wurde am 05.01.2006 um 21:42 Uhr von TKHeidt editiert.
|
|
|
||
06.01.2006, 00:39
Ehrenmitglied
Beiträge: 29434 |
#24
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: mserv.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.01.2006, 08:13
Member
Themenstarter Beiträge: 15 |
#25
ich mache das wie beschrieben und warte und warte aber nirgendwo gibts ein Ergebnis der Suche....
|
|
|
||
06.01.2006, 10:59
Ehrenmitglied
Beiträge: 29434 |
#26
das ist gut
kopiere nun das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.01.2006, 20:44
Member
Themenstarter Beiträge: 15 |
#27
die R1 und R0 und 023 gehen nicht weg, obwohl ich ein paar mal "fix checked" gemacht habe:
Logfile of HijackThis v1.99.1 Scan saved at 20:42:04, on 06.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe C:\Programme\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Norton AntiVirus\OPScan.exe C:\WINDOWS\system32\wuauclt.exe c:\Programme\Microsoft Works\MSWorks.exe G:\Plug ins aus dem WWW\HijackThis\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.muxa.cc/h.php?aid=551 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ? O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ? O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://bba.bloomberg.net/Citrix/ICAWEB/en/ica32/wficat.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.fr/svideo3.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6218DEFD-6282-490D-B7F9-B13B982432F8}: NameServer = 85.255.116.45 85.255.112.230 O23 - Service: mserv.exe (anem) - Unknown owner - C:\WINDOWS\mserv.exe (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
||
07.01.2006, 00:03
Ehrenmitglied
Beiträge: 29434 |
#28
seufz....
fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.muxa.cc/s.php?aid=551 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://t.muxa.cc/h.php?aid=551 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.muxa.cc/s.php?aid=551 (obfuscated) O17 - HKLM\System\CCS\Services\Tcpip\..\{6218DEFD-6282-490D-B7F9-B13B982432F8}: NameServer = 85.255.116.45 85.255.112.230 O23 - Service: mserv.exe (anem) - Unknown owner - C:\WINDOWS\mserv.exe (file missing) PC neustarten erstelle eine neue Internetverbindung Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren kopiere noch mal die 4 Textdateien von datfinbat ----------------------------------------------------------- Zitat organisation: ORG-EST1-RIPE __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.01.2006, 13:09
Member
Themenstarter Beiträge: 15 |
#29
scheint ein schwieriger fall zu sein ?!?!?
das ServiceFilter.vbs funktioniert nicht (kein Ergebnis) *************************************************************# Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: D81A-D019 Verzeichnis von C:\WINDOWS\system32 04.01.2006 09:57 0 asfiles.txt 04.01.2006 09:55 2.550 Uninstall.ico 04.01.2006 09:55 1.406 Help.ico 04.01.2006 09:55 1.718 Open.ico 04.01.2006 09:55 1.406 AddQuit.ico 04.01.2006 09:55 5.350 IE.ico 04.01.2006 09:55 9.470 Desktop.ico 04.01.2006 09:55 1.718 Quick.ico 03.01.2006 07:26 1.158 wpa.dbl 01.01.2006 15:27 654.111 filesafer23.exe.ren 01.01.2006 15:27 5.632 favset.exe.ren 29.12.2005 03:54 280.064 gdi32.dll 09.12.2005 01:21 2.723.680 MRT.exe 01.12.2005 12:14 86.091 S32EVNT1.DLL 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 10.11.2005 07:23 259.048 FNTCACHE.DAT 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 30.10.2005 09:14 40.664 perfc009.dat Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: D81A-D019 Verzeichnis von C:\DOKUME~1\THORST~1\LOKALE~1\Temp 07.01.2006 12:53 16.384 Perflib_Perfdata_be8.dat 07.01.2006 12:53 2.579 jusched.log 05.01.2006 21:12 16.384 ~WRF0000.tmp 05.01.2006 20:53 16.384 ~DF6088.tmp 03.01.2006 22:49 28.306 MSIda2e7.LOG 03.01.2006 21:38 14.592 Z@R5C.tmp 03.01.2006 21:38 9.016 Z@R58.tmp 03.01.2006 21:38 17.480 Z@R54.tmp 03.01.2006 21:38 21.300 Z@R50.tmp 03.01.2006 21:38 15.896 Z@R4B.tmp 03.01.2006 21:38 14.592 Z@R47.tmp 03.01.2006 21:38 9.016 Z@R43.tmp 03.01.2006 21:38 17.480 Z@R3F.tmp 03.01.2006 21:38 21.300 Z@R3B.tmp 03.01.2006 21:38 16.156 Z@R37.tmp 03.01.2006 21:37 14.768 Z@R33.tmp 03.01.2006 21:37 9.016 Z@R2F.tmp 03.01.2006 21:37 17.480 Z@R2B.tmp 03.01.2006 21:37 21.300 Z@R27.tmp 03.01.2006 21:37 16.104 Z@R22.tmp 03.01.2006 20:52 919.931 tmp.xpi 03.01.2006 20:32 32.768 ~DFB7D7.tmp 03.01.2006 20:32 16.384 ~DFA2C8.tmp 03.01.2006 20:15 32.768 ~DFBAD2.tmp 03.01.2006 20:14 16.384 ~DFDB92.tmp 25 Datei(en) 1.333.768 Bytes 0 Verzeichnis(se), 64.361.267.200 Bytes frei Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: D81A-D019 Verzeichnis von C:\WINDOWS 07.01.2006 12:56 472.966 setupapi.log 07.01.2006 12:53 54.156 QTFont.qfn 07.01.2006 12:52 0 0.log 07.01.2006 12:52 3.706 ModemLog_MSP3885-E 56K PCI Modem.txt 07.01.2006 12:52 159 wiadebug.log 07.01.2006 12:52 1.886.494 WindowsUpdate.log 07.01.2006 12:52 50 wiaservc.log 07.01.2006 12:51 2.048 bootstat.dat 07.01.2006 12:50 32.612 SchedLgU.Txt 06.01.2006 21:00 87.971 iis6.log 06.01.2006 21:00 197.469 comsetup.log 06.01.2006 21:00 119.115 ntdtcsetup.log 06.01.2006 21:00 221.649 tsoc.log 06.01.2006 21:00 26.939 ocmsn.log 06.01.2006 21:00 1.355 imsins.log 06.01.2006 21:00 11.013 KB912919.log 06.01.2006 21:00 289.253 ocgen.log 06.01.2006 21:00 28.420 msgsocm.log 06.01.2006 21:00 579.347 FaxSetup.log 06.01.2006 21:00 24.500 updspapi.log 04.01.2006 11:42 1.409 QTFont.for 04.01.2006 09:57 668 win.ini 03.01.2006 21:43 132 webica.ini 03.01.2006 20:52 2.901 mozver.dat 03.01.2006 20:24 230.709 setupact.log 01.01.2006 22:06 164.466 ntbtlog.txt 01.01.2006 16:54 0 nsreg.dat 01.01.2006 16:54 107.132 UninstallFirefox.exe 23.12.2005 14:03 57.932 wmsetup.log 13.12.2005 20:22 1.393 imsins.BAK 13.12.2005 20:22 10.931 KB910437.log 13.12.2005 20:22 16.742 KB905915.log 09.11.2005 21:15 14.386 KB896424.log 06.11.2005 15:08 12.735 SYMEVENT.LOG Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: D81A-D019 Verzeichnis von C:\ 07.01.2006 13:08 0 sys.txt 07.01.2006 13:08 11.667 system.txt 07.01.2006 13:07 1.447 systemtemp.txt 07.01.2006 13:00 106.674 system32.txt 07.01.2006 12:51 536.399.872 hiberfil.sys 07.01.2006 12:51 804.491.264 pagefile.sys 03.01.2006 20:19 1.396 smitfiles.txt 05.06.2005 10:02 13.030 PDOXUSRS.NET |
|
|
||
07.01.2006, 15:49
Ehrenmitglied
Beiträge: 29434 |
#30
loesche mit der Killbox:
C:\WINDOWS\system32\Uninstall.ico C:\WINDOWS\system32\Help.ico C:\WINDOWS\system32\Open.ico C:\WINDOWS\system32\AddQuit.ico C:\WINDOWS\system32\IE.ico C:\WINDOWS\system32\Desktop.ico C:\WINDOWS\system32\Quick.ico C:\WINDOWS\system32\filesafer23.exe.ren C:\WINDOWS\system32\favset.exe.ren PC neustarten stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Verzeichnis von C:\DOKUME~1\THORST~1\LOKALE~1\Temp ...muss leer sein ich brauche die datfindbat -Daten bis September...oder besser noch...bis Anfang August __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
http://virus-protect.org/onlinescan.html
__________
MfG Sabina
rund um die PC-Sicherheit