Bin am Ende meines Lateins (svchost.exe / Audiotreiber)

#1 Ich weiss dass ich einen Virus im Speicher präsent habe oder was ähnliches aber weiss definitiv nicht mehr weiter. Ich bin selbst PC-Supporter ich krieg meinen PC allerdings nicht mehr gebacken. Und bevor ich neu aufsetze was angesichts der Programme eine schweinearbeit ist wollte ich mein glück hier versuchen:

Intel Pentium 4 3.20Ghz
P4S800D
1GB RAM
Radeon 9800 Pro
Windows XP SP2
Onboard Sound Deaktiviert
Sounblaster Live! 24 External
SiS-900 Ethernet Onboard
Kabelmodem 6Mbit / 1Mbit Leitung
Sitze hinter einem Router mit Firewall

Erstmal die Symptome:

"svchost.exe" wächst auf über 30mbyte an im Speicher schon nach kurzer Zeit, das system ist allerdings nicht blockiert es arbeitet nur extrem langsam... Der PC ist allerdings nicht komplett blockiert, und über die CPU last lässt sich auch nichts finden... er läuft lediglich wie eine 1GhZ was ziemlich fatal ist da ich oft Grafische bearbeitungsprogramme laufen lassen muss...

Wenn ich den besagtn svchost.exe abschiesse geschieht merkwürdiges... zunächst einmal werden die Soundtreiber aus dem Speicher geladen, allerdings laufen programme welche zum zeitpunkt den sound benützt haben normal weiter, allerdings finden neue Programme keine Soundkarte mehr und verabschieden sich mit meldungen a la "no sound driver found" (obwohl der windowssystemsound und die bereits laufenden programme weiter töne spucken). Das system läuft dann etwas stabiler und schneller allerdings immernoch weit unter leistung.

Adaware, Ewido, Panda, Norton etc. etc. alles probiert finden nix mehr. Warum ich trotzdem denke dass es ein Virus ist, ist die tatsache dass die programme ab und zu doch was finden, die sie allerdings wieder entfernen können, nur frage ich mich wie die ständig auf mein System kommen, da zieh ich wieder den schluss auf einen Virus welcher mir irgendwelche sicherheitslöcher aufmacht.

Mit Hijack kann ich auch regelmässig wieder einträge löschen es füllt sich ständig mit irgendwelchem Mist. Vielleicht entdeckt ihr aber etwas was ich bis anhin nicht gelöscht habe...

Logfile of HijackThis v1.99.1
Scan saved at 14:05:41, on 09.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\SYSTEM32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\CTsvcCDA.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\SYSTEM32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\QuickTime\qttask.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
E:\WINDOWS\system32\RunDll32.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\WINDOWS\vsnpstd.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\MSN Messenger\MsnMsgr.Exe
I:\sigma\SIGMA_AutoLaunch.exe
E:\Programme\iTunes\iTunes.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
E:\Programme\Outlook Express\msimn.exe
E:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\WINDOWS\system32\taskmgr.exe
E:\WINDOWS\System32\svchost.exe
I:\EVE\eve.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\Lance\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - E:\WINDOWS\system32\hlwin.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {BA41BA8F-761F-36A0-EC00-50A899ECE89E} - E:\WINDOWS\system32\netgp32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\WINXPtools\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NetLimiter] E:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CTSysVol] E:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] "E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "E:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [snpstd] E:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: SIGMA Photo Pro AutoLaunch.lnk = I:\sigma\SIGMA_AutoLaunch.exe
O8 - Extra context menu item: &Google-Suche - res://E:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://E:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://E:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://E:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://E:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - E:\WINDOWS\system32\hlwin.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - E:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

#2 Obmud

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
R3 - Default URLSearchHook is missing
O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - E:\WINDOWS\system32\hlwin.dll (file missing)
O2 - BHO: Class - {BA41BA8F-761F-36A0-EC00-50A899ECE89E} - E:\WINDOWS\system32\netgp32.dll
O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - E:\WINDOWS\system32\hlwin.dll

PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Vielen vielen dank für deine geopferte Zeit!

Datentr„ger in Laufwerk E: ist Daten
Volumeseriennummer: 5A75-22A9

Verzeichnis von E:\WINDOWS\system32

23.09.2007 09:29 3'799 jupdate-1.5.0_04-b05.log
07.02.2006 17:42 588 settingsbkup.sfm
07.02.2006 17:42 588 settings.sfm
07.02.2006 11:24 2'206 wpa.dbl
10.01.2006 09:26 109'400 FNTCACHE.DAT
19.12.2005 15:29 7'006 jupdate-1.5.0_06-b05.log
16.12.2005 20:41 380'350 perfh009.dat
16.12.2005 20:41 52'764 perfc009.dat
16.12.2005 20:41 391'000 perfh007.dat
16.12.2005 20:41 63'580 perfc007.dat
16.12.2005 20:41 786'220 PerfStringBackup.INI
14.12.2005 09:24 118'784 sirenacm.dll
23.11.2005 07:56 307'200 atiiiexx.dll
23.11.2005 07:12 258'048 ATIDEMGR.dll
23.11.2005 06:20 6'684'672 atioglx1.dll
23.11.2005 05:08 4'960'256 atioglxx.dll
23.11.2005 04:51 252'928 ati2dvag.dll
23.11.2005 04:45 110'592 atipdlxx.dll
23.11.2005 04:45 77'824 Oemdspif.dll
23.11.2005 04:45 26'112 Ati2mdxx.exe
23.11.2005 04:45 40'960 ati2edxx.dll
23.11.2005 04:45 47'104 ati2evxx.dll
23.11.2005 04:43 393'216 ati2evxx.exe
23.11.2005 04:43 53'248 ATIDDC.DLL
23.11.2005 04:35 2'517'536 ati3duag.dll
23.11.2005 04:28 1'090'144 ativvaxx.dll
23.11.2005 04:14 151'552 atikvmag.dll
23.11.2005 03:49 17'408 atitvo32.dll
23.11.2005 03:43 237'568 ati2cqag.dll
22.11.2005 21:05 520'192 ati2sgag.exe
22.11.2005 15:11 36'864 SetInstallerSource.exe
22.11.2005 15:11 192'512 WinRTUsb.dll
22.11.2005 15:11 65'536 RemoveDriversX3.exe
22.11.2005 15:11 40'960 DisableDriversX3.Exe
22.11.2005 15:11 41'674'752 PPUninstall.exe
22.11.2005 12:52 2'368 SVKP.sys
16.11.2005 23:27 512 296.tmp
16.11.2005 22:12 6'024 atifglpf.xml
15.11.2005 16:26 112'794 atiicdxx.dat
15.11.2005 09:38 176'167 rmoc3260.dll
14.11.2005 23:20 27 mcheck.mhf
13.11.2005 21:04 16'832 amcompat.tlb
13.11.2005 21:04 23'392 nscompat.tlb
11.11.2005 18:16 8'148 OODBS.lor
11.11.2005 16:54 507'392 AutoPartNt.exe
11.11.2005 16:37 37'888 setupnt.dll
10.11.2005 13:03 127'078 javaws.exe
10.11.2005 13:03 49'265 jpicpl32.cpl
10.11.2005 11:27 49'250 javaw.exe
10.11.2005 11:27 49'248 java.exe
07.11.2005 17:55 88'552 netgp32.dll
06.11.2005 17:17 3'567 xzrgx.txt
30.10.2005 15:30 221'184 wrap_oal.dll
30.10.2005 15:30 81'920 OpenAL32.dll
27.10.2005 20:37 53'248 dpuGUI10.dll
27.10.2005 20:37 86'016 dpl100.dll
27.10.2005 20:37 593'920 dpuGUI11.dll
27.10.2005 20:37 200'704 dtu100.dll
27.10.2005 20:37 339'968 dpus11.dll
27.10.2005 20:37 57'344 dpv11.dll
27.10.2005 20:37 294'912 dpu10.dll
27.10.2005 20:37 294'912 dpu11.dll
25.10.2005 08:06 13'581 gbhen.dat
24.10.2005 14:48 197'761 rvlpk.log
14.10.2005 11:42 43'520 CmdLineExt03.dll
04.10.2005 16:26 3'013'120 mshtml.dll

Datentr„ger in Laufwerk E: ist Daten
Volumeseriennummer: 5A75-22A9

Verzeichnis von E:\DOKUME~1\Lance\LOKALE~1\Temp

10.02.2006 13:48 204 jusched.log
10.02.2006 13:39 16'384 Perflib_Perfdata_c00.dat
10.02.2006 13:39 16'384 Perflib_Perfdata_c08.dat
10.02.2006 13:38 16'384 Perflib_Perfdata_904.dat
10.02.2006 13:38 16'384 ~DF9A76.tmp
10.02.2006 13:38 512 ~DF86BB.tmp
10.02.2006 13:38 16'384 ~DF86B3.tmp

Datentr„ger in Laufwerk E: ist Daten
Volumeseriennummer: 5A75-22A9

Verzeichnis von E:\WINDOWS

23.09.2007 12:29 121 GEARInstall.log
10.02.2006 13:50 54'156 QTFont.qfn
10.02.2006 13:50 1'409 QTFont.for
10.02.2006 13:44 317'653 WindowsUpdate.log
10.02.2006 13:38 0 0.log
10.02.2006 13:38 157 wiadebug.log
10.02.2006 13:38 50 wiaservc.log
10.02.2006 13:37 2'048 bootstat.dat
10.02.2006 13:36 32'580 SchedLgU.Txt
10.02.2006 11:58 6'277'574 Firefox Wallpaper.bmp
07.02.2006 17:42 727'600 setupapi.log
03.02.2006 05:05 1'125 winamp.ini
30.01.2006 15:55 3'943 mozver.dat
26.01.2006 13:27 751 win.ini
17.01.2006 16:25 1'220 wmsetup.log
16.12.2005 20:41 1'456 COM+.log
03.12.2005 06:09 286'720 iun507.exe
01.12.2005 18:40 513 MtlBlade.theme
01.12.2005 17:10 234 del
30.11.2005 16:44 60 WININIT.INI
22.11.2005 12:55 4'096 d3dx.dat
21.11.2005 04:00 12'649'545 discwriter.log
20.11.2005 14:59 0 OrangeBurn.log
15.11.2005 00:02 94'208 rtpmsi32.dll -->>> !!!!!!!!!!!!??????????
14.11.2005 23:27 28'227 DirectX.log
14.11.2005 19:10 17'113 tabletoc.log
14.11.2005 19:10 159'377 tsoc.log
14.11.2005 19:10 119'392 comsetup.log
14.11.2005 19:10 18'528 ocmsn.log
14.11.2005 19:10 1'393 imsins.log
14.11.2005 19:10 71'798 ntdtcsetup.log
14.11.2005 19:10 175'108 ocgen.log
14.11.2005 19:10 59'101 netfxocm.log
14.11.2005 19:10 23'944 MedCtrOC.log
14.11.2005 19:10 17'198 msgsocm.log
14.11.2005 19:10 331'690 FaxSetup.log
14.11.2005 19:10 114'330 msmqinst.log
14.11.2005 19:10 1'393 imsins.BAK
14.11.2005 19:09 316'640 WMSysPr9.prx
14.11.2005 19:08 22'183 updspapi.log
14.11.2005 19:05 18'824 KB890046.log
13.11.2005 21:05 459 wmsetup10.log
13.11.2005 09:34 88'552 n_qkiyyy.txt
12.11.2005 19:37 321'514 ntbtlog.txt
11.11.2005 17:59 0 Sti_Trace.log
11.11.2005 01:22 26'582 Granit.bmp
11.11.2005 01:22 16'730 Feder.bmp
10.11.2005 22:16 707 _default.pif
10.11.2005 22:16 9'522 Zapotek.bmp
10.11.2005 22:16 34'818 wmprfDEU.prx
10.11.2005 22:16 386 wcx_ftp.ini
10.11.2005 17:09 0 __delete_on_reboot__mszs.exe
08.11.2005 11:23 26'680 F„cher.bmp
08.11.2005 11:23 80 explorer.scf
03.11.2005 19:43 1'405 msdfmap.ini
02.11.2005 06:43 48'680 winnt256.bmp
31.10.2005 15:29 200 cmsetacl.log
29.10.2005 17:18 478 setuplog.txt
27.10.2005 17:37 0 nsreg.dat
27.10.2005 17:37 99'970 UninstallFirefox.exe
26.10.2005 11:45 597 wincmd.ini
24.10.2005 19:30 422'767 iis6.log
24.10.2005 19:30 545 LHA.PIF
19.10.2005 23:05 187'442 setupact.log
17.10.2005 16:07 0 SBWIN.INI
17.10.2005 16:07 37 r007
12.10.2005 18:12 8'980 KB893803.log
10.10.2005 03:05 553 eReg.dat

Datentr„ger in Laufwerk E: ist Daten
Volumeseriennummer: 5A75-22A9

Verzeichnis von E:\

10.02.2006 13:51 0 sys.txt
10.02.2006 13:51 6'420 system.txt
10.02.2006 13:50 617 systemtemp.txt
10.02.2006 13:50 101'972 system32.txt
10.02.2006 13:37 1'072'484'352 hiberfil.sys
10.02.2006 13:37 1'610'612'736 pagefile.sys
16.11.2005 23:26 838'652'640 gtr-emily2.bin
14.11.2005 17:51 6'255 SFcure.rar
14.11.2005 04:19 244'234'240 cfd-stromberg-s02e10.avi
08.11.2005 14:25 3'720'237'056 sow-marksman.img
08.11.2005 12:55 177 gtr-emily1.cue
08.11.2005 12:55 837'528'384 gtr-emily1.bin
31.10.2005 20:09 4'685'365'248 X3.mdf
31.10.2005 20:09 40'082 X3.mds
26.10.2005 07:00 76 dvt-ptav06.cue
26.10.2005 07:00 126'706'944 dvt-ptav06.bin



PS: Die 2007ner Daten haben nicht viel zur sache zu tun, ich habe zeitweilig mal meine Interne uhr umstellen müssen und habs vergessen zurückzustellen aber das kannste dir ja denken.

#4 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

E:\WINDOWS\system32\296.tmp
E:\WINDOWS\system32\netgp32.dll
E:\WINDOWS\system32\gbhen.dat
E:\WINDOWS\system32\rvlpk.log
E:\WINDOWS\__delete_on_reboot__mszs.exe
E:\WINDOWS\n_qkiyyy.txt
E:\WINDOWS\system32\hlwin.dll

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell


Download AboutBuster http://www.downloads.subratam.org/AboutBuster.zip
Alle Dateien in einen Ordner entpacken
die Readme Datei lesen
starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)
4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".

kopiere hier den scanreport



ADSSpy --> kopiere den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#5 AboutBuster 6.0
Scan started on [10.02.2006] at [15:37:25]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
Removed Stream! E:\WINDOWS\explorer.scf:iybkmc
Removed Stream! E:\WINDOWS\Feder.bmp:cubseo
Removed Stream! E:\WINDOWS\Fächer.bmp:azlqgn
Removed Stream! E:\WINDOWS\Granit.bmp:vvuygy
Removed Stream! E:\WINDOWS\LHA.PIF:ivdpfz
Removed Stream! E:\WINDOWS\msdfmap.ini:bvouzj
Removed Stream! E:\WINDOWS\SchedLgU.Txt:hqbsjz
Removed Stream! E:\WINDOWS\setupact.log:uhqeeu
Removed Stream! E:\WINDOWS\wcx_ftp.ini:zgwszj
Removed Stream! E:\WINDOWS\wiaservc.log:awwqye
Removed Stream! E:\WINDOWS\win.ini:rhoxtu
Removed Stream! E:\WINDOWS\winnt256.bmp:isvqtl
Removed Stream! E:\WINDOWS\wmprfDEU.prx:casiph
Removed Stream! E:\WINDOWS\Zapotek.bmp:vbkvrr
Removed Stream! E:\WINDOWS\_default.pif:gcnfge
Removed Stream! E:\WINDOWS\_default.pif:ncvamb
-------------------------------------------------------------
Removed File! : E:\WINDOWS\system32\xzrgx.txt
-------------------------------------------------------------
Removed Temp Files
Internet Explorer Settings Reset!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 15:38:25


AboutBuster 6.0
Scan started on [10.02.2006] at [15:38:51]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 15:39:03

ADSSpy
Nichts gefunden

#6 um den Trojaner auch aus der Registry zu bekommen:

http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Autsch, ganz übel. Counterspy kannt ich nicht...

Spyware Scan Details
Start Date: 10.02.2006 16:12:33
End Date: 10.02.2006 18:34:11
Total Time: 2 hrs 21 mins 38 secs

Detected spyware

Spyware.SearchAssistant Spyware more information...
Status: Deleted


Looking-For.Home Search Assistant Browser Modifier more information...
Details: Home Search Assistant is an Internet Explorer browser helper object that was recently identified by the SpyNet community; research is currently under way to further identify its risks.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 Service 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 Class LegacyDriver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}


SpySheriff Misc more information...
Details: SpySheriff is a purported anti-spyware application to scan for and remove spyware from users' computers.
Status: Deleted

Infected files detected
C:\Program Files\SpySheriff\found.wav
C:\Program Files\SpySheriff\heur000.dll
C:\Program Files\SpySheriff\heur001.dll
C:\Program Files\SpySheriff\heur003.dll
C:\Program Files\SpySheriff\notfound.wav
C:\Program Files\SpySheriff\removed.wav
C:\Program Files\SpySheriff\SpySheriff.exe


AproposMedia Browser Hijacker more information...
Details: A component of PeopleOnPage, sometimes found on machines without the commonly visible portion of the application. Spawns popup ads, and hijacks browser settings.
Status: Deleted

Infected files detected
C:\Programme\CxtPls\ace.dll
C:\Programme\CxtPls\data.bin


Overnet Adware Bundler more information...
Details: Overnet/eDonkey is a file sharing application that bundles third party adware and spyware with the free version.
Status: Deleted

Infected files detected
C:\Programme\Overnet\Plugins\ed2kie.dll
C:\Programme\Overnet\Plugins\launchmyapp.dll


WindUpdates Browser Plug-in more information...
Status: Deleted

Infected files detected
C:\WIN2K\system32\ide21201.vxd


QuickLinks Adware more information...
Details: QuickLinks is Adware that redirects your searches to affiliate sites and may monitor your search terms.
Status: Deleted

Infected files detected
E:\WINDOWS\system32\intlib.bin


Second Thought Trojan more information...
Details: SecondThought is an adware program that downloads and displays advertisements from 2ndthought.com. It may hijkack browser settings, and is known to download and install additional spyware.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\HyperLinker
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\HyperLinker UninstallString E:\Programme\Hyperlinker\Uninst.exe -s E:\Programme\Hyperlinker\Uninst.log
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\HyperLinker DisplayName Hyperlinker


Backdoor.Aimbot.ca Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP DisplayName SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP ImagePath \??\E:\WINDOWS\System32\SVKP.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP ErrorControl 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP Start 2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP Type 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum 0 Root\LEGACY_SVKP\0000


DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted

Infected cookies detected
e:\dokumente und einstellungen\lance\cookies\lance@doubleclick[1].txt

#8 da war sogar noch der SpySheriff drauf.... aber der Trojaner ist nun auch aus der Registry geloescht.
Nun sollte die Systemwiederherstellung deaktiviert werden / dann wieder aktivieren.

Agebracht ist noch ein Scan mit panda, um die verseuchten Favoriten zu finden:
http://virus-protect.org/onlinescan.html
und dann manuell loeschen zu koennen.

aproposfix
http://swandog46.geekstogo.com/aproposfix.exe

lade aproposfix.exe --> klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
dann kopiere die log.txt ab.
__________
MfG Sabina

rund um die PC-Sicherheit