Verseucht mit vielen unterschiedlichen Viren etc.

Thema ist geschlossen!
Thema ist geschlossen!
#0
06.01.2006, 17:30
Member

Beiträge: 38
#1 Hallo,

ich habe - ohne genau zu wissen wo - etliche Viren/Spyware und dergleichen eingefangen. Ich habe schon laufen lassen:

- adaware
- spybot
- cw shredder
- trendmicro online scan
- bitdefender online scan
- panda online scan
- kaspersky online scan

bis auf cw shredder und kaspersky haben sie alle irgendwas gefunden und gelöscht.

Problem ist, dass der PC sich nun immer wieder aufhängt bzw. mit Fehlern startet.

Kann man aus dem Logfile noch etwas bösartiges sehen?

Für Hilfe wäre ich sehr sehr dankbar!

trimalcio


Logfile of HijackThis v1.99.1
Scan saved at 17:25:27, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wdfmgr.exe
d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\RVB78E.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
F:\Verwaltung_DB\Tenovis\Dialit32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\SEUPDA~1.EXE
C:\WINDOWS\explorer.exe
H:\Sicherung eigene Dateien 4.01.2006\Sonstiges\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {1535835B-C1E6-7DF5-25A5-F370BBB4B520} - backorif.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [control64] BoundRec.exe
O4 - HKLM\..\Run: [mozilla-text] forces_elite.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [slamm] KeywordFinder.exe
O4 - HKCU\..\Run: [iesetupdll] SetupExeDll.exe
O4 - HKCU\..\Run: [MON76234] sound64.exe

O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\Software\..\Telephony: DomainName = lvn.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 85.255.116.43,85.255.112.200

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
Seitenanfang Seitenende
09.01.2006, 15:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 trimalcio

das ist der Wareout--> deine Internetverbindung geht in die Ukraine ....

Zitat

NameServer = 85.255.116.43,85.255.112.200
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 16:24
Member

Themenstarter

Beiträge: 38
#3 Hallo Sabina,

vielen Dank für die Antwort.

Ich habe den "Blacklight rootkiteliminator" laufen lassen. Er hat aber wohl nichts gefunden.

folgende Log-Datei wurde erzeugt:

01/09/06 16:15:19 [Info]: BlackLight Engine 1.0.30 initialized
01/09/06 16:15:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/09/06 16:15:20 [Note]: 7019 4
01/09/06 16:15:20 [Note]: 7005 0
01/09/06 16:15:22 [Note]: 7006 0
01/09/06 16:15:22 [Note]: 7011 1432
01/09/06 16:15:22 [Note]: FSRAW library version 1.7.1014
01/09/06 16:16:10 [Note]: 7007 0

Als Laie muss ich mal ganz naiv fragen: Was bedeutet "meine Internetverbindung geht in die Ukraine"? Welche Folgen kann das haben?

Gruß aus dem Norden,

Trimalcio
Seitenanfang Seitenende
09.01.2006, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 textdateien (3 Monate vom Datum her)
http://virus-protect.org/datfindbat.html

dein PC ist gehackt, und wird als zwischenstation verwendet

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200
% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 17:02
Member

Themenstarter

Beiträge: 38
#5 Hallo Sabina,

abermals Danke.

Ich werde gehackt? Als Zwischenstation?

Macht das mir oder anderen Personen Schaden?



Clean Up habe ich laufen lassen.

data-find hat folgendes ergeben:

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 182E-B4DD

Verzeichnis von C:\WINDOWS\system32

09.01.2006 07:29 13.646 wpa.dbl
06.01.2006 15:37 0 asfiles.txt
06.01.2006 15:35 2.550 Uninstall.ico
06.01.2006 15:35 1.406 Help.ico
02.01.2006 12:25 654.111 filesafer23.exe
02.01.2006 12:25 5.632 favset.exe
02.01.2006 12:25 45.568 pppcgm.exe
02.01.2006 12:25 4.608 sphlp32.exe
02.01.2006 12:25 2.048 howiper.exe
02.01.2006 12:25 51.200 csmnn.exe

29.12.2005 03:54 280.064 gdi32.dll
14.12.2005 13:15 64 bs.bin
12.12.2005 07:48 7.006 jupdate-1.5.0_06-b05.log
08.12.2005 16:25 2.723.680 MRT.exe
07.12.2005 11:30 770.048 CDDBUINokia.dll
07.12.2005 11:29 643.072 CDDBControlNokia.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
29.11.2005 12:49 246.272 ConnAPI.dll
28.11.2005 09:08 115.712 DAAPI.dll
24.11.2005 10:53 110.592 NclAPI.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
09.11.2005 08:08 239.944 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
31.10.2005 07:45 383.254 perfh009.dat
31.10.2005 07:45 53.608 perfc009.dat
31.10.2005 07:45 64.598 perfc007.dat
31.10.2005 07:45 394.500 perfh007.dat
31.10.2005 07:45 906.552 PerfStringBackup.INI
28.10.2005 13:51 26.624 NclTools.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 08:15 48.128 nmwcdcls.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 182E-B4DD

Verzeichnis von C:\DOKUME~1\\LOKALE~1\Temp

09.01.2006 07:30 0 INMEM000.REM
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 5.966.229.504 Bytes frei

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 182E-B4DD

Verzeichnis von C:\WINDOWS

09.01.2006 08:53 180 hpbafd.ini
09.01.2006 07:29 1.862.226 WindowsUpdate.log
09.01.2006 07:29 0 0.log
09.01.2006 07:29 2.048 bootstat.dat
07.01.2006 16:33 32.586 SchedLgU.Txt
07.01.2006 16:33 836 bthservsdp.dat
06.01.2006 18:39 189.065 setupact.log
06.01.2006 16:14 25.514 setupapi.log
06.01.2006 15:37 669 win.ini
06.01.2006 07:42 349.310 iis6.log
06.01.2006 07:42 107.431 comsetup.log
06.01.2006 07:42 1.355 imsins.log
06.01.2006 07:42 15.289 tabletoc.log
06.01.2006 07:42 63.557 ntdtcsetup.log
06.01.2006 07:42 137.132 tsoc.log
06.01.2006 07:42 16.275 ocmsn.log
06.01.2006 07:42 11.022 KB912919.log
06.01.2006 07:42 20.623 MedCtrOC.log
06.01.2006 07:42 51.525 netfxocm.log
06.01.2006 07:42 145.952 ocgen.log
06.01.2006 07:42 14.776 msgsocm.log
06.01.2006 07:42 289.759 FaxSetup.log
06.01.2006 07:42 95.092 msmqinst.log
06.01.2006 07:42 27.554 updspapi.log
04.01.2006 12:34 19 SoundConverter.INI
02.01.2006 13:25 7.245 cfgall.ini
02.01.2006 12:42 4.639 rdt.ini

23.12.2005 15:07 47 wiaservc.log
23.12.2005 15:07 216 wiadebug.log
14.12.2005 13:01 1.393 imsins.BAK
14.12.2005 13:01 9.957 KB910437.log
14.12.2005 13:01 16.995 KB905915.log
18.11.2005 18:33 1.985 TMFilter.log
09.11.2005 08:06 11.906 KB896424.log
22.10.2005 12:02 24.283 KB901017.log
22.10.2005 12:01 27.897 KB902400.log
22.10.2005 12:01 17.850 KB896688.log
22.10.2005 12:00 13.961 KB899589.log
22.10.2005 12:00 14.283 KB905414.log
22.10.2005 12:00 14.195 KB900725.log
22.10.2005 12:00 11.406 KB904706.log
22.10.2005 12:00 12.002 KB905749.log
06.10.2005 08:46 0 setuperr.log


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 182E-B4DD

Verzeichnis von C:\

09.01.2006 17:00 0 sys.txt
09.01.2006 16:59 7.859 system.txt
09.01.2006 16:59 286 systemtemp.txt
09.01.2006 16:58 97.291 system32.txt
09.01.2006 07:29 536.137.728 hiberfil.sys
09.01.2006 07:29 1.073.741.824 pagefile.sys




Gruß

Trimalcio
Seitenanfang Seitenende
09.01.2006, 18:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 trimalcio

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked-->PC neustarten

R3 - URLSearchHook: (no name) - {1535835B-C1E6-7DF5-25A5-F370BBB4B520} - backorif.dll (file missing)
O4 - HKLM\..\Run: [control64] BoundRec.exe
O4 - HKLM\..\Run: [mozilla-text] forces_elite.exe
O4 - HKCU\..\Run: [slamm] KeywordFinder.exe
O4 - HKCU\..\Run: [iesetupdll] SetupExeDll.exe
O4 - HKCU\..\Run: [MON76234] sound64.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 85.255.116.43,85.255.112.200

PC neustarten--> F8 druecken, wenn der PC hochfaehrt--> gehe in den abgesicherten Modus

loesche (im abgesicherten Modus)

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\system32\howiper.exe
C:\WINDOWS\system32\csmnn.exe
C:\WINDOWS\cfgall.ini
C:\WINDOWS\rdt.ini

------------------------------------------------------------------------
02.01.2006 -- schau, ob es noch andere Dateien gibt, die an diesem Tag erstellt wurden

dann kopiere hier das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2006, 16:34
Member

Themenstarter

Beiträge: 38
#7 Hallo Sabina,

ich habe getan wie mir geheißen.

Der abgesicherte Modus ist für mich nicht zugänglich, da ich nicht der Administrator bin (kannst Dir vielleicht denken warum, hab hier ziemlich Mist gemacht...), aber das Löschen ging auch so.

PROBLEM: mein PC geht danach nicht mehr ins Internet (schreibe hier von woanders)!! Das ist ein großes Problem für mich.


Kann das daran liegen, dass "NameServer" jetzt garnicht mehr besetzt ist?


Hier nochmal mein aktuelles Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:01:27, on 10.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\HKDB39.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
F:\Verwaltung_DB\Tenovis\Dialit32.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\WISPTIS.EXE
S:\Dateien Steuerreferat\7. Verwaltung Steuerreferat\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\Software\..\Telephony: DomainName = lvn.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe



Gruß

Trimalcio
Seitenanfang Seitenende
11.01.2006, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 du hast die internetverbindung loeschen muessen... es war eine verbindung vom Wareout...nun musst du eine neue erstellen

obwohl:
die hier muesste eigentlich noch funktionieren.....
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local

Zitat

manuell mit den Zugangsdaten des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.
falls du an einem Firmenrechner sitzt, bitte den Administrator, alles wieder in Ordnung zu bringen, eventuell zu formatieren (auch wenn man den Wareout bereinigen kann)

berichte dann, ob du weiter reinigen willst/kannst.......denn die Reinigung ist noch nicht beendet... es kommt noch mehr.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2006, 08:19
Member

Themenstarter

Beiträge: 38
#9 Hallo Sabina,

es läuft wieder. Ich habe in der Registry einen "NameServer" dort eingerichtet wo der anstößige wohl gesessen hat. Mit einer Nummer, die ich auf einen Nachbar-PC gefunden habe. Keine Ahnung, wo und was ich da getan habe - aber der Interntzugang geht ja wieder.

Abgesehen davon läuft der PC (ja, es ist ein Firmenrechner) wieder ganz fröhlich: er läuft problemlos hoch, hakt nicht mehr. Für mich als Laien (mit ungeahnten Hackerqualitäten?) erscheint er wieder gesund.

Aber lass uns mal weitermachen - wenn es was zu reinigen gibt, dann müssen wir da wohl ran.

Ich hab hier keine Admin-Rechte auf meinem PC, kann aber Programme installieren, in der Registry herumfuhrwerken und alles löschen, was ich sehen kann (kann ich alles sehen?). Der Rechner ist in ein Netz eingebunden, darüber läuft auch der Internetanschluss.

Der Angriff auf den PC lief wohl am 2.1.06 um 12.25 Uhr. Die Suchfunktion des PC findet keine weiteren Dateien, die zu diesem Zeitpunkt hinzugekommen sind oder verändert wurden. Gut möglich, dass es über die bekannte Sicherheitslücke bei Windows gekommen ist (beim Anschauen von Bildern, die man sich besser ersparen sollte) das entsprechende Update für Windows habe ich inzwischen drauf.

Hier nochmal das aktuelle Logfile, da kannst Du wohl auch den Internetzugang sehen. Ist der so noch bedenklich?

Gruß und Dank aus dem Norden

Trimalcio



Logfile of HijackThis v1.99.1
Scan saved at 08:16:50, on 11.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\KZ7F10.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
F:\Verwaltung_DB\Tenovis\Dialit32.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\lotus\notes\ntaskldr.EXE
H:\Sicherung eigene Dateien 4.01.2006\Sonstiges\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\Software\..\Telephony: DomainName = lvn.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 192.168.250.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 192.168.250.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
Seitenanfang Seitenende
11.01.2006, 09:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 kopiere hier das Log vom Silentrunner --> ich hoffe, die Hosts ist nicht vom Administrator deaktiviert.
http://virus-protect.org/silentrunner.html
falls ja, poste den Winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2006, 09:56
Member

Themenstarter

Beiträge: 38
#11 Hallo Sabina:

hier das LOG vom Silentrunner:


Gruß

Trimalcio




"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"PcSync" = "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog" ["Time Information Services Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"OfficeScanNT Monitor" = ""d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" ["Trend Micro Inc."]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray" ["Nokia"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "FilZip Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csody.exe" [file not found]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
FilZip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
FilZip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\(...Name....)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "(..... Name......)" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Verknüpfung mit Dialit32" -> shortcut to: "F:\Verwaltung_DB\Tenovis\Dialit32.exe" ["ek-soft"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 14
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Multi-user Cleanup Service, Multi-user Cleanup Service, "C:\Programme\lotus\notes\ntmulti.exe" [null data]
OfficeScanNT Echtzeitsuche, ntrtscan, "d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe" ["Trend Micro Inc."]
OfficeScanNT Listener, tmlisten, "d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe" ["Trend Micro Inc."]
OfficeScanNT Personal Firewall, OfcPfwSvc, "d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe" ["Trend Micro Inc."]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 32 seconds, including 18 seconds for message boxes)
Seitenanfang Seitenende
11.01.2006, 10:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2006, 11:18
Member

Themenstarter

Beiträge: 38
#13 Hallo Sabina,

in den abgesicherten Modus komme ich wie schon gesagt nicht - oder ich bringe es nicht fertig :-)

Habe das ganze dann so laufen lassen.

Hier das Log von Fixwareout und das neueste von Hijakthis.

(Was ist "Wateout"?)

Gruß,

Trimalcio


Fixwareout ver 1.003
Last edited 12/5/2005
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool



Logfile of HijackThis v1.99.1
Scan saved at 11:17:41, on 11.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\HEED02.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
F:\Verwaltung_DB\Tenovis\Dialit32.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
H:\Sicherung eigene Dateien 4.01.2006\Sonstiges\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\Software\..\Telephony: DomainName = lvn.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 192.168.250.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 192.168.250.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
Seitenanfang Seitenende
11.01.2006, 11:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Info Wareout-->"gesammelte Werke" lol
http://virus-protect.org/artikel/spyware/idemlog.html
http://virus-protect.org/artikel/spyware/wareout.html


http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2006, 12:46
Member

Themenstarter

Beiträge: 38
#15 Hallo Sabina,

hier die Scan-reporte (das Programm hat den einen oder anderen File nicht öffnen können):

Gruß

Trimalcio




01/11/2006 12:24:25


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [SYSTEM]
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 8070
Clean: ................. 8060
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:04.06




01/11/2006 12:30:57


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [SYSTEM]
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 26259
Clean: ................. 26247
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:07.59



01/11/2006 11:46:18


Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [SYSTEM]
Scanning C:\*.*

Summary report on C:\*.*
File(s)
Total files: ........... 206380
Clean: ................. 206343
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 2
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:28.20
Seitenanfang Seitenende