Computer infected

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.02.2006, 20:26
Member

Themenstarter

Beiträge: 56
#31 Ich bin ziemlich verzweifelt. Das Problem ist hartnäckig. Immer noch Viren und Spyware vorhanden. Hijack und Killbox habe ich gemacht. Die Datei !Killbox ist nicht zu finden. Ich poste jetzt mal den Stand (gespeichert auf einem Stick) und ich schreibe über meinen Arbeits PC. Was soll ich nur tun?

Logfile of HijackThis v1.99.1
Scan saved at 08:38:36, on 09.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\F-Secure Internet Security\backweb\4476822\Program\ServiceWrapper-4476822.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AdwareSheriff\asheriff.exe
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlinesecurityguide.net/?adv=193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Programme\F-Secure Internet Security\FSGUI\help\wwhelp\wwhimpl\common\html\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - Startup: asheriff.lnk = C:\Programme\AdwareSheriff\asheriff.exe
O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-Secure Internet Security\backweb\4476822\Program\ServiceWrapper-4476822.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\
09.02.2006 08:42 0 sys.txt
09.02.2006 08:42 12.418 system.txt
09.02.2006 08:42 392 systemtemp.txt
09.02.2006 08:41 113.468 system32.txt
09.02.2006 08:39 10.757 hijackthis.log
09.02.2006 08:29 1.073.270.784 hiberfil.sys
09.02.2006 08:29 1.610.612.736 pagefile.sys



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

09.02.2006 08:40 449.930 WindowsUpdate.log
09.02.2006 08:31 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
09.02.2006 08:30 5.228 ModemLog_RVS ISDN Internet PPP.txt
09.02.2006 08:30 6.104 ModemLog_Bluetooth DUN Modem.txt
09.02.2006 08:30 5.206 ModemLog_RVS ISDN.txt
09.02.2006 08:30 159 wiadebug.log
09.02.2006 08:30 50 wiaservc.log
09.02.2006 08:29 2.048 bootstat.dat
09.02.2006 08:25 1.073.303.552 MEMORY.DMP
09.02.2006 08:23 0 0.log
09.02.2006 08:20 32.588 SchedLgU.Txt
09.02.2006 03:06 326 system.ini
08.02.2006 08:16 63.109 iis6.log
08.02.2006 08:16 390.690 comsetup.log
08.02.2006 08:16 53.634 ocmsn.log
08.02.2006 08:16 408.045 tsoc.log
08.02.2006 08:16 1.891 imsins.log
08.02.2006 08:16 115.439 ntdtcsetup.log
08.02.2006 08:16 593.553 ocgen.log
08.02.2006 08:16 50.763 msgsocm.log
08.02.2006 08:16 1.125.114 FaxSetup.log
08.02.2006 08:16 506.300 setupapi.log
08.02.2006 08:11 1.891 imsins.BAK
07.02.2006 22:06 26 Lic.xxx

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp

09.02.2006 08:34 16.384 Perflib_Perfdata_f0c.dat
09.02.2006 08:19 301 kb.log
09.02.2006 08:14 16.384 ~DF2A7F.tmp
3 Datei(en) 33.069 Bytes
0 Verzeichnis(se), 58.079.649.792 Bytes frei
Seitenanfang Seitenende
10.02.2006, 00:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 magic2912

das wichtigste...die system32...hast du vergessen...poste sie bitte noch (4 Monate)
http://virus-protect.org/datfindbat.html

+

Download Registry Search by Bobbi Flekman

http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

AdwareSheriff

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2006, 09:01
Member

Themenstarter

Beiträge: 56
#33 Sorry, hier noch der Rest. Bekomme seit heute Beschwerdeemails von fremden Personen, dass ich ihnen angeblich virenversuchte emails geschrieben habe, was ich aber natürlich nicht tat!!!


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

09.02.2006 08:33 18.662 olemdb32.dl_
09.02.2006 08:32 5.276 ps.a3d
09.02.2006 08:30 1.810 ModemLog_ISDN Mailbox (X.75).txt
09.02.2006 08:30 1.808 ModemLog_ISDN Custom Config.txt
09.02.2006 08:30 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt
09.02.2006 08:30 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt
09.02.2006 08:24 23.552 olemdb32.dll
09.02.2006 08:21 2.126 wpa.dbl
07.02.2006 19:26 283.720 FNTCACHE.DAT
07.02.2006 08:01 35.873 vsconfig.xml

das kann ich aber nicht downloaden, da ich doch auf dem privaten PC nicht mehr ins Internet komme!
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings
Seitenanfang Seitenende
10.02.2006, 11:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 Hallo

Verzeichnis von C:\WINDOWS\system32
warum postest du nur einige Tage ??? So kann ich nicht alles sehen... 3Monate waeren besser gewesen......
----------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlinesecurityguide.net/?adv=193
O4 - Startup: asheriff.lnk = C:\Programme\AdwareSheriff\asheriff.exe
O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll

PC neustarten

dann deinstalliere:
AdwareSheriff

das muss geloescht werden:

C:\WINDOWS\system32\olemdb32.dll
C:\WINDOWS\system32\olemdb32.dl_
C:\WINDOWS\system32\ps.a3d
C:\Programme\AdwareSheriff\asheriff.exe
C:\Programme\AdwareSheriff\
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\WINDOWS\SYSTEM32\lanH32.dll

---------------------------------------------------------------------

Zitat

--> Virus win32.sality.k
C:\WINDOWS\system32\olemdb32.dll --> Virus win32.sality.k
C:\WINDOWS\system32\olemdb32.dl_
http://virus-protect.org/artikel/spyware/adwarepunisher.html
dann, wenn du wieder ins Net kommen solltest... poste die Ergebnisse von Registry Search by Bobbi Flekman
und dann kommen noch andere Tools , denn es ist auch ein Haxdoor auf dem System
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2006, 11:44
Member

Themenstarter

Beiträge: 56
#35 Hier noch der Rest. Der Hacker nutzt inzwischen meine email-Adresse, um verseuchte emails in die Welt zu schicken. Ich habe bereits mehrere Beschwerden, warum ich versuchte emails versende. Shit....

Please help...

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32


09.02.2006 08:33 18.662 olemdb32.dl_
09.02.2006 08:32 5.276 ps.a3d

09.02.2006 08:30 1.810 ModemLog_ISDN Mailbox (X.75).txt
09.02.2006 08:30 1.808 ModemLog_ISDN Custom Config.txt
09.02.2006 08:30 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt
09.02.2006 08:30 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt
09.02.2006 08:24 23.552 olemdb32.dll
09.02.2006 08:21 2.126 wpa.dbl
07.02.2006 19:26 283.720 FNTCACHE.DAT
07.02.2006 08:01 35.873 vsconfig.xml
22.01.2006 19:06 383.262 perfh009.dat
22.01.2006 19:06 54.412 perfc009.dat
22.01.2006 19:06 394.678 perfh007.dat
22.01.2006 19:06 65.538 perfc007.dat
22.01.2006 19:06 906.240 PerfStringBackup.INI
22.01.2006 02:53 1.100 d3d8caps.dat
22.01.2006 00:47 34.661 $winnt$.inf
22.01.2006 00:43 16.832 amcompat.tlb
22.01.2006 00:43 23.392 nscompat.tlb
22.01.2006 00:42 488 WindowsLogon.manifest
22.01.2006 00:42 488 logonui.exe.manifest
22.01.2006 00:42 749 wuaucpl.cpl.manifest
22.01.2006 00:42 749 sapi.cpl.manifest
22.01.2006 00:42 749 cdplayer.exe.manifest
22.01.2006 00:42 749 ncpa.cpl.manifest
22.01.2006 00:42 749 nwc.cpl.manifest
22.01.2006 00:41 23.572 emptyregdb.dat
22.01.2006 00:41 6.749 mapisvc.inf
22.01.2006 00:26 455 oeminfo.ini
09.01.2006 01:13 147.267 NULL
04.01.2006 19:46 2.836.320 MRT.exe
26.12.2005 00:07 41 AuxDrv32ds_g.ods
26.12.2005 00:07 41 SndDrv32ds_g.ods
12.12.2005 02:42 4.212 zllictbl.dat
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
Seitenanfang Seitenende
10.02.2006, 12:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 fuehre also aus, was ich oben geschrieben hatte (fixen, loeschen....http://virus-protect.org/killbox.html)

Zitat

C:\WINDOWS\system32\olemdb32.dll
C:\WINDOWS\system32\olemdb32.dl_
C:\WINDOWS\system32\ps.a3d
C:\Programme\AdwareSheriff\asheriff.exe
C:\Programme\AdwareSheriff
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\WINDOWS\SYSTEM32\lanH32.dll
wenn das fertig ist.... du kommst also wieder ins net ??? Kopiere mir:

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

AdwareSheriff

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 17:57
Member

Themenstarter

Beiträge: 56
#37 @Sabrina
Ich bin ziemlich frustriert. Gefixed und mit der Killbox gelöscht und immer noch die gleichen Probleme. Die ganzen gelöschten Dinge immer noch da, außer diesem AdwareSheriff, der scheint weg.
DasProblem scheint dies zu sein.
C:\WINDOWS\SYSTEM32\lanH32.dll
Das ist immer wieder da und Internet läuft nicht!!!
Ich habe auf einer CD-Rom ein BitdefenderAntiSpyware9-Programm. Das vielleicht mal probieren? Ansonsten wohl wirklich nur eine Wiederherstellung des Auslieferungszustandes des PC. Meine Daten habe ich auf dem Stick gesichert. Oder sind vielleicht auch diese Daten "Eigene Dateien" infiziert???

Und zu beginn kommt jetzt ein Fenster:
FSAV Handler
FSAV Handler hat einen Fehler ermittelt und musste beendet werden. Dieses Problem auch an Microsoft berichten. Man muß dann ein paar mal auf "Nicht senden" drücken bis es weg ist...


Jetzt aber erstmal der aktuelle hijack...


Logfile of HijackThis v1.99.1
Scan saved at 17:43:44, on 11.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\F-Secure Internet Security\backweb\4476822\Program\ServiceWrapper-4476822.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Programme\F-Secure Internet Security\FSGUI\help\wwhelp\wwhimpl\common\html\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

11.02.2006 17:23 18.662 olemdb32.dl_
11.02.2006 16:46 77 ps.a3d
11.02.2006 16:43 1.810 ModemLog_ISDN Mailbox (X.75).txt
11.02.2006 16:43 1.808 ModemLog_ISDN Custom Config.txt
11.02.2006 16:43 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt
11.02.2006 16:43 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt
11.02.2006 16:23 23.552 olemdb32.dll
11.02.2006 15:11 2.256 wpa.dbl
07.02.2006 19:26 283.720 FNTCACHE.DAT
07.02.2006 08:01 35.873 vsconfig.xml
22.01.2006 19:06 383.262 perfh009.dat
22.01.2006 19:06 54.412 perfc009.dat
22.01.2006 19:06 394.678 perfh007.dat
22.01.2006 19:06 65.538 perfc007.dat
22.01.2006 19:06 906.240 PerfStringBackup.INI
22.01.2006 02:53 1.100 d3d8caps.dat
22.01.2006 00:47 34.661 $winnt$.inf
22.01.2006 00:43 16.832 amcompat.tlb
22.01.2006 00:43 23.392 nscompat.tlb
22.01.2006 00:42 488 WindowsLogon.manifest
22.01.2006 00:42 488 logonui.exe.manifest
22.01.2006 00:42 749 wuaucpl.cpl.manifest
22.01.2006 00:42 749 sapi.cpl.manifest
22.01.2006 00:42 749 cdplayer.exe.manifest
22.01.2006 00:42 749 ncpa.cpl.manifest
22.01.2006 00:42 749 nwc.cpl.manifest
22.01.2006 00:41 23.572 emptyregdb.dat
22.01.2006 00:41 6.749 mapisvc.inf
22.01.2006 00:26 455 oeminfo.ini
09.01.2006 01:13 147.267 NULL
04.01.2006 19:46 2.836.320 MRT.exe
26.12.2005 00:07 41 AuxDrv32ds_g.ods
26.12.2005 00:07 41 SndDrv32ds_g.ods
12.12.2005 02:42 4.212 zllictbl.dat
01.12.2005 04:31 1.492.480 shdocvw.dll

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp

11.02.2006 17:24 16.384 Perflib_Perfdata_cc.dat
11.02.2006 15:34 782 kb.log
11.02.2006 15:29 16.384 ~DF6A33.tmp
11.02.2006 15:06 0 tmp53B.tmp
09.02.2006 08:46 0 tmp4B.tmp
09.02.2006 08:14 16.384 ~DF2A7F.tmp
28.01.2005 17:10 73.848 delus.exe

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

11.02.2006 17:22 481.865 WindowsUpdate.log
11.02.2006 16:43 0 0.log
11.02.2006 16:43 5.228 ModemLog_RVS ISDN Internet PPP.txt
11.02.2006 16:43 6.104 ModemLog_Bluetooth DUN Modem.txt
11.02.2006 16:43 5.206 ModemLog_RVS ISDN.txt
11.02.2006 16:43 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
11.02.2006 16:43 159 wiadebug.log
11.02.2006 16:43 50 wiaservc.log
11.02.2006 16:42 2.048 bootstat.dat
11.02.2006 16:34 32.588 SchedLgU.Txt
11.02.2006 15:22 64.106 iis6.log
11.02.2006 15:22 599.282 ocgen.log
11.02.2006 15:22 117.035 ntdtcsetup.log
11.02.2006 15:22 392.997 comsetup.log
11.02.2006 15:22 54.103 ocmsn.log
11.02.2006 15:22 1.917 imsins.log
11.02.2006 15:22 411.969 tsoc.log
11.02.2006 15:22 51.242 msgsocm.log
11.02.2006 15:22 1.132.819 FaxSetup.log
11.02.2006 15:22 507.641 setupapi.log
09.02.2006 08:25 1.073.303.552 MEMORY.DMP
09.02.2006 03:06 326 system.ini
08.02.2006 08:16 1.891 imsins.BAK
07.02.2006 22:06 26 Lic.xxx
06.02.2006 01:10 3.582 fsiuupd.log
06.02.2006 00:55 2.966.126 FSSFM.log
06.02.2006 00:55 5.228.259 FSISU.log
06.02.2006 00:55 310.563 RunSetup.log
06.02.2006 00:55 952.903 FSSETUP.log
06.02.2006 00:55 150.457 FSPROD.log
06.02.2006 00:55 4.202 NEWSINST.LOG
06.02.2006 00:55 21.615 FSASWSIN.log
06.02.2006 00:55 14.438 HELPINST.LOG
06.02.2006 00:55 7.980 FSAVCSIN.LOG
06.02.2006 00:55 17.047 fsmainst.log
06.02.2006 00:55 5.138 FSSYSUPD.LOG
06.02.2006 00:55 2.824 fsavunin.log
06.02.2006 00:55 9.398 FSGUIINS.LOG
06.02.2006 00:55 13.600 FSASWINS.LOG
06.02.2006 00:55 2.032 fsdginst.log
06.02.2006 00:55 17.750 fwesinst.log
06.02.2006 00:55 36.146 fstnbins.LOG
06.02.2006 00:54 7.692 fsrif.log
06.02.2006 00:54 35.789 FSAVINST.LOG
06.02.2006 00:54 2.185 DAASINST.LOG
06.02.2006 00:54 83.680 FSDEPH.log
06.02.2006 00:54 10.900 FSSGSUP.LOG
06.02.2006 00:53 386.527 fssgpex.LOG
06.02.2006 00:53 4.720 fsbwinst.log
06.02.2006 00:53 2.438 FSPRODRM.LOG
05.02.2006 23:23 10.240 offitems.log
05.02.2006 22:51 154 UNO.INI
05.02.2006 16:33 29.898 KB905915.log
05.02.2006 16:33 58.934 updspapi.log
04.02.2006 23:14 81.525 wmsetup.log
04.02.2006 19:49 571 lexstat.ini
27.01.2006 20:03 2.424.832 outlook.pst
27.01.2006 20:02 1.926 win.ini
22.01.2006 20:42 8.866 extend.dat
22.01.2006 02:18 5.816 COM+.log
22.01.2006 02:06 458 wmsetup10.log
22.01.2006 00:54 825.122 setuplog.txt
22.01.2006 00:47 80.594 setupact.log
22.01.2006 00:43 316.640 WMSysPr9.prx
22.01.2006 00:43 886 OEWABLog.txt
22.01.2006 00:43 4.348 ODBCINST.INI
22.01.2006 00:42 749 WindowsShell.Manifest
22.01.2006 00:41 1.228 DtcInstall.log
22.01.2006 00:41 14.006 sessmgr.setup.log
22.01.2006 00:40 573 cmsetacl.log
22.01.2006 00:34 161 pnplog.txt
22.01.2006 00:30 1.954 ModemLog_RVS ISDN Internet PPP #2.txt
22.01.2006 00:27 110 setuperr.log
22.01.2006 00:25 10.516 regopt.log
22.01.2006 00:13 1.948 UPGRADE.TXT
22.01.2006 00:12 56.717 wsdu.log
22.01.2006 00:10 89 WINNT32.LOG
22.01.2006 00:10 2.418 DHCPUPG.LOG
22.01.2006 00:09 540.862 setupapi.old
10.01.2006 21:21 10.159 KB908519.log
09.01.2006 02:00 15.699 KB912919.log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

11.02.2006 17:40 0 sys.txt
11.02.2006 17:39 12.418 system.txt
11.02.2006 17:39 582 systemtemp.txt
11.02.2006 17:39 113.468 system32.txt
11.02.2006 16:42 1.073.270.784 hiberfil.sys
11.02.2006 16:42 1.610.612.736 pagefile.sys
11.02.2006 14:54 78 playout.txt
09.02.2006 08:39 10.757 hijackthis.log
22.01.2006 00:39 222 boot.ini
09.01.2006 01:22 132 TO_InstallLog.txt
11.12.2005 17:24 1.120 INSTALL.LOG
08.09.2005 20:05 42.819 KillBox.zip
07.09.2005 21:03 212.849 hijackthis.zip
03.09.2005 22:20 8.289 TDSLCheck.txt
23.08.2005 20:14 385 ToCaclLg.txt
29.06.2005 00:05 237 debugInstaller.txt
25.04.2005 23:24 64 jetscan.log
19.03.2005 13:39 183 LogiSetup.log
19.03.2005 00:12 1.046 debugLog.txt
12.02.2005 19:54 50 AUTOEXEC.BAT
26.01.2005 21:11 0 IO.SYS
26.01.2005 21:11 0 MSDOS.SYS
26.01.2005 21:11 0 CONFIG.SYS
Dieser Beitrag wurde am 11.02.2006 um 18:05 Uhr von magic2912 editiert.
Seitenanfang Seitenende
11.02.2006, 19:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 magic2912

das ist ein neuer Haxdoor...ich finde noch nichts darueber...wir muessen also #graben#

schau mal, ob du eine .sys - Datei findest, die zum gleichen Zeitpunkt, wie die lanH32.dll erstellt wurde (und andere Dateien auch suchen, die zeitlich damit zusammenpassen)

----------------------------------------------------------------------------

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\lanH32.dll
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe

mit der Killbox loeschen:

C:\WINDOWS\system32\olemdb32.dl_
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\olemdb32.dll
C:\WINDOWS\SYSTEM32\lanH32.dll

PC neustarten

RootkitRevealer--> scanne und poste den scanreport
http://www.sysinternals.com/Utilities/RootkitRevealer.html

HijackThis (StartupListe)
Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren und posten)

--------------------------------------------------------------------
Haxdoor

folgende Dateien im Systemordner ab:
i.a3d oder ps.a3d, boot32.sys, p2.ini, c3.dll, c3.sys, c4.sys, debugg.dll, sdmapi.sys
---------------------
i.a3d oder
ps.a3d, draw32.dll, p2.ini, cm.dll, vdnt32.sys, hm.sys, memlow.sys, wd.sys und klogini.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 19:21
Member

Themenstarter

Beiträge: 56
#39 @Sabina
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

?????
Wo oben auf der Seite???

Haste Du den Eingang meines letzten Postings gelesen.

Ich komme mit dem infizierten PC auch nicht ins Internet und poste von meinem Arbeits-PC (Laptop)...
Seitenanfang Seitenende
11.02.2006, 19:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 schade, ich haette den Haxdoor gern gefunden...er ist neu. Und ich kenne die sys. nicht und auch nicht die Eintraege in der Registry von ihm.

Nun ja... erstelle das System mit der CD neu und poste das neue Log vom HijackThis, mal sehen, ob es so klappt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 20:04
Member

Themenstarter

Beiträge: 56
#41 Dein Ehrgeiz verstehe ich, aber ich will wieder mit meinem privaten PC arbeiten.
Wir versuchen aber nunmehr seit Tagen das Problem in Griff zu bekommen.
Es nervt einfach.
Du siehst ja, dass das Problem immer wieder erscheint.

Kannst Du mir sage, ob man das System mit einem zurückliegenden Wiederherstellungszeitpunkt starten kann oder muß man auf den Auslieferungszustand. Ich habe nur eine Recovery-CD-ROM und keine komplette Windows-Version w/ALDI/Medion-PC?
Seitenanfang Seitenende
11.02.2006, 20:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 wie man eine Recovery-CD anwendet, weiss ich nicht, ich habe keine, aber das kannst du bestimmt im Netz (googeln) rausfinden.

software:
http://www.informationsarchiv.net/foren/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 12:22
Member

Themenstarter

Beiträge: 56
#43 @Sabina
So, habe nunmehr meinen PC neu aufgesetzt.
Auf meinem backup-Laufwerk (d;) hatte ich noch vorher ein Regystry-Programm gesichert, was ich auf c: zurücladen wollte. Dabei hat der von Medion mitgelieferte Virenscanner den Virus "win32.sality.k"
gefunden. Das Programm habe ich aber jetzt gelöscht.

Schau Dir bitte nochmals mein hijack an. Hijack sieht nunmehr so aus:

Logfile of HijackThis v1.99.1
Scan saved at 12:17:01, on 12.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Logitech\ImageStudio\LowLight.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg&lang=2&prtr=4408001&ctry=00000407&os=5&src=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AntivirusRegistration] c:\programme\antivirus offer\etrust antivirus registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
12.02.2006, 12:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 das Log ist sauber ...;) Es scheint das Neuaufsetzen hat geholfen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 13:15
Member

Themenstarter

Beiträge: 56
#45 Ich habe auch ein sauberes Log gesehen, aber sicherheitshalber wollte ich die Expertin nochmals schauen lassen.

Ich danke Dir für Deine Mühe, auch wenn ich letztlich die Notfalllösung genutzt habe.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: