Wurm rbot 174080 entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
16.02.2006, 02:13
...neu hier

Beiträge: 2
#1 Hilfe, ich bekomme seit heute bei jedem Systemstart die Meldung von AntiVir, dass sich bei mir der rbot 174080 eingenistet hat, löschen will's ihn natürlich nicht...

Ich gebe zu, dass ich absolut keine Ahnung habe, ist mein erster Virus/Wurm/whatever in 6 Jahren... da ihr hier alle das logfile von hijackthis haben wollt, da ist das aktuelle:

Logfile of HijackThis v1.99.1
Scan saved at 02:14:38, on 16.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\outlook\outlook.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marcy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140049064968
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140049237000
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B670AA-9729-4CD3-B5CA-7A38C23C5342}: NameServer = 205.188.146.145
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PDEngine - Unknown owner - C:\Programme\Raxco\PerfectDisk\PDEngine.exe (file missing)
O23 - Service: PDScheduler (PDSched) - Unknown owner - C:\Programme\Raxco\PerfectDisk\PDSched.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Wäre klasse, wenn mir jemand helfen könnte!

Ayako
Dieser Beitrag wurde am 16.02.2006 um 10:06 Uhr von Ayako editiert.
Seitenanfang Seitenende
16.02.2006, 14:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Ayako

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\Programme\outlook\outlook.exe

-----------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.02.2006, 11:46
...neu hier

Beiträge: 2
#3 hallo
ich habe das gleiche problem mit diesem wurm..
muss ich da das gleiche prozedere durchführen oder gilt für mich was anderes?
ich habe mal clean up laufen lassen und nach dem neustart hatte ich dann neben dem
RBot.174080 in C:\onoes.exe
und auch noch
Worm/VB.DW in C:\Programme\outlook\outlook.exe

was kann ich tun?
habe mal alles durchgeführt, was du Ayako empfohlen hast..
ich hoffe da ist was machbar, danke.
mfg zerinol


datbat-Resultate

Zitat

Verzeichnis von C:\WINDOWS\system32

17.02.2006 11:24 1.010 eRLog.ini
17.02.2006 11:24 17.555 nvapps.xml
15.02.2006 17:53 248.696 FNTCACHE.DAT
15.02.2006 17:42 62.464 bszip.dll
15.02.2006 17:42 0 cmd.com
15.02.2006 17:42 0 netstat.com
15.02.2006 17:42 0 tasklist.com
15.02.2006 17:42 0 tracert.com
15.02.2006 17:42 0 taskkill.com
15.02.2006 17:42 0 regedit.com
15.02.2006 17:42 0 ping.com
08.02.2006 22:13 1.158 wpa.dbl
08.02.2006 06:23 4.513.120 MRT.exe
24.01.2006 16:57 6.948 jupdate-1.5.0_06-b05.log
18.01.2006 13:05 57.344 avsda.dll
08.01.2006 19:36 176.167 rmoc3260.dll
08.01.2006 19:35 5.632 pndx5032.dll
08.01.2006 19:35 6.656 pndx5016.dll
08.01.2006 19:35 278.528 pncrt.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
27.12.2005 19:32 34.064 lhacm.acm
14.12.2005 01:24 118.784 sirenacm.dll
07.12.2005 18:05 716.800 divxdec.ax
07.12.2005 18:05 573.952 DivX.dll
07.12.2005 18:05 679.936 divx_xx07.dll
07.12.2005 18:05 679.936 divx_xx0c.dll
07.12.2005 18:05 663.552 divx_xx11.dll
06.12.2005 06:02 5.533.696 wmp.dll
05.12.2005 21:51 10.716 dsm_ja.qm
05.12.2005 21:51 15.331 dsm_de.qm
05.12.2005 21:51 15.172 dsm_fr.qm
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll



Verzeichnis von C:\DOKUME~1\Daniele\LOKALE~1\Temp

17.02.2006 11:38 512 ~DF1919.tmp
17.02.2006 11:34 204 jusched.log
2 Datei(en) 716 Bytes
0 Verzeichnis(se), 68.245.389.312 Bytes frei



Verzeichnis von C:\WINDOWS

17.02.2006 11:24 0 0.log
17.02.2006 11:24 1.981.305 WindowsUpdate.log
17.02.2006 11:24 50 wiaservc.log
17.02.2006 11:24 159 wiadebug.log
17.02.2006 11:23 2.048 bootstat.dat
17.02.2006 11:22 32.620 SchedLgU.Txt
16.02.2006 21:55 652 win.ini
16.02.2006 15:49 32.648 wmsetup.log
15.02.2006 17:53 923 spupdsvc.log
15.02.2006 13:43 16.959 ocmsn.log
15.02.2006 13:43 120.977 tsoc.log
15.02.2006 13:43 66.400 ntdtcsetup.log
15.02.2006 13:43 48.188 iis6.log
15.02.2006 13:43 1.374 imsins.log
15.02.2006 13:43 112.574 comsetup.log
15.02.2006 13:43 12.282 KB911927.log
15.02.2006 13:43 15.394 msgsocm.log
15.02.2006 13:43 151.737 ocgen.log
15.02.2006 13:43 322.127 FaxSetup.log
15.02.2006 13:43 740.895 setupapi.log
15.02.2006 13:43 20.416 updspapi.log
15.02.2006 13:43 1.374 imsins.BAK
15.02.2006 13:43 5.572 KB911564.log
15.02.2006 13:43 5.820 KB911565.log
15.02.2006 13:42 11.461 KB901190.log
15.02.2006 13:42 7.580 KB913446.log
14.02.2006 01:11 228.597 setupact.log
03.02.2006 21:56 0 iPlayer.INI
16.01.2006 14:14 99.970 UninstallFirefox.exe
16.01.2006 14:11 4.207 mozver.dat
12.01.2006 00:35 54.717 DirectX.log
11.01.2006 10:14 10.126 KB908519.log
06.01.2006 13:20 11.010 KB912919.log
06.01.2006 13:20 0 setuperr.log
25.12.2005 22:38 73.728 ALCFDRTM.VER
15.12.2005 14:21 9.943 KB910437.log




Verzeichnis von C:\

17.02.2006 11:39 0 sys.txt
17.02.2006 11:39 8.106 system.txt
17.02.2006 11:38 334 systemtemp.txt
17.02.2006 11:38 106.407 system32.txt
17.02.2006 11:24 38.734 AmeCSAex.log
17.02.2006 11:23 1.073.270.784 hiberfil.sys
17.02.2006 11:23 1.610.612.736 pagefile.sys
14.02.2006 01:04 518 hpfr3420.xml
14.02.2006 01:04 38.634 hpfr3425.log
21.01.2006 12:24 92 ResumeOmgApDeliveryMgrCntrl_SonicStage_EmdDownloadObj.dmf
05.12.2005 22:53 1.770.059 VHV.JPG
28.11.2005 21:43 11 drv.tes
VB.DV - Resultate

Zitat

This is a report processed by VirusTotal on 02/17/2006 at 11:28:07 (CET) after scanning the file "outlook.exe" file.


Antivirus Version Update Result
AntiVir 6.33.1.50 02.17.2006 Worm/VB.DW
Avast 4.6.695.0 02.16.2006 no virus found
AVG 718 02.16.2006 Worm/Generic.IQ
Avira 6.33.1.50 02.17.2006 Worm/VB.DW
BitDefender 7.2 02.17.2006 Trojan.Dropper.G
CAT-QuickHeal 8.00 02.16.2006 no virus found
ClamAV devel-20060126 02.17.2006 Trojan.VB-100
DrWeb 4.33 02.17.2006 Trojan.MulDrop.3290
eTrust-InoculateIT 23.71.78 02.17.2006 Win32/Alcan.5tn!Worm
eTrust-Vet 12.4.2086 02.17.2006 Win32/Alcan.I
Ewido 3.5 02.17.2006 Worm.VB.dw
Fortinet 2.69.0.0 02.17.2006 W32/VB.DW!p2p
F-Prot 3.16c 02.17.2006 W32/VB.NQ
Ikarus 0.2.59.0 02.16.2006 Backdoor.Win32.Rbot.GEN
Kaspersky 4.0.2.24 02.17.2006 P2P-Worm.Win32.VB.dw
McAfee 4699 02.17.2006 W32/Gaobot.worm.gen.u
NOD32v2 1.1412 02.16.2006 a variant of Win32/TrojanDropper.VB.NAI
Norman 5.70.10 02.16.2006 no virus found
Panda 9.0.0.4 02.16.2006 Trj/Gaodrop.A
Sophos 4.02.0 02.17.2006 no virus found
Symantec 8.0 02.17.2006 no virus found
TheHacker 5.9.4.097 02.16.2006 W32/VB.dw
UNA 1.83 02.16.2006 Worm.P2P.VB
VBA32 3.10.5 02.17.2006 P2P-Worm.Win32.VB.dw
RBot.174080 - Resultate

Zitat

This is a report processed by VirusTotal on 02/15/2006 at 23:11:14 (CET) after scanning the file "onoes.exe" file.


Antivirus Version Update Result
AntiVir 6.33.0.81 02.15.2006 Worm/RBot.174080
Avast 4.6.695.0 02.14.2006 no virus found
AVG 718 02.15.2006 IRC/BackDoor.SdBot.VJZ
Avira 6.33.0.81 02.15.2006 Worm/RBot.174080
BitDefender 7.2 02.15.2006 no virus found
CAT-QuickHeal 8.00 02.15.2006 no virus found
ClamAV devel-20060126 02.14.2006 no virus found
DrWeb 4.33 02.15.2006 Win32.HLLW.MyBot
eTrust-InoculateIT 23.71.76 02.15.2006 Win32/RBot.3eu!Worm
eTrust-Vet 12.4.2079 02.14.2006 Win32/Rbot.EPW
Ewido 3.5 02.15.2006 Backdoor.Rbot
Fortinet 2.69.0.0 02.15.2006 W32/AgoBot.U!bdr
F-Prot 3.16c 02.15.2006 no virus found
Ikarus 0.2.59.0 02.15.2006 no virus found
Kaspersky 4.0.2.24 02.15.2006 Backdoor.Win32.Rbot.gen
McAfee 4697 02.15.2006 W32/Gaobot.worm.gen.u
NOD32v2 1.1410 02.15.2006 Win32/Rbot
Norman 5.70.10 02.15.2006 W32/Spybot.AGXH
Panda 9.0.0.4 02.15.2006 W32/Gaobot.MFM.worm
Sophos 4.02.0 02.15.2006 no virus found
Symantec 8.0 02.15.2006 no virus found
TheHacker 5.9.4.096 02.14.2006 no virus found
UNA 1.83 02.15.2006 no virus found
VBA32 3.10.5 02.15.2006 Backdoor.Win32.Rbot.gen
hijack this

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 10:37:30, on 17.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\ACER\PSM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ELAN.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\outlook\outlook.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Dokumente und Einstellungen\Daniele\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunrise.ch/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.de/desupport
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MPS] C:\ACER\PSM.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\system32\ELAN.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Dieser Beitrag wurde am 17.02.2006 um 11:52 Uhr von zerinol editiert.
Seitenanfang Seitenende
17.02.2006, 12:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 zerinol

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll (file missing)
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\onoes.exe
C:\Programme\outlook\outlook.exe
C:\Programme\outlook
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\ping.com

PC neustarten

C:\Programme\outlook (loeschen, falls es noch vorhanden ist)

bfu abarbeiten
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.02.2006, 14:42
...neu hier

Beiträge: 2
#5 ui cool..ich hab das gefühl, dass es weg ist, also beim reboot kommt keine meldung mehr..vielen dank!!! ;)
der ewido report wird gleich folgen..

aber ich habe noch eine frage..das mit sophos muss man durchführen, wenn man Sophos antivirus hat?

Dieser Beitrag wurde am 17.02.2006 um 15:10 Uhr von zerinol editiert.
Seitenanfang Seitenende
17.02.2006, 15:28
...neu hier

Beiträge: 1
#6 Hallo
Ich habe das gleiche Problem mit dem Wurm Rbot.174080 wie Zerinol.
Die beiden Dateien outlook.exe und onoes.exe habe ich nicht mit VR geprüft, da ich mit dem infizierten PC nicht online gehen kann und ich die Dateien nicht auf mein sauberes Notebook übertragen möchte.
Deshalb habe ich mal Clean Up und bfu abgearbeitet. Im Moment prüfe ich den PC mit ewido im abgesicherten Modus (werden den ewido-Report nachliefern).

Was kann ich tun? Bitte helft mir. Es ist mein erster Wurm.

MFG Jshah


datbat-Resultate

Verzeichnis von C:\WINDOWS\system32

17.02.2006 10:57 49'019 Dunzip32.dll
16.02.2006 19:06 381'692 perfh009.dat
16.02.2006 19:06 392'512 perfh007.dat
16.02.2006 19:06 53'436 perfc009.dat
16.02.2006 19:06 64'452 perfc007.dat
16.02.2006 19:06 902'476 PerfStringBackup.INI
16.02.2006 12:01 190'976 ViRobot.dll
16.02.2006 12:01 2'399'040 vrcore.sys
15.02.2006 12:01 259'713 vrscript.vib
15.02.2006 07:36 180'240 FNTCACHE.DAT
14.02.2006 09:17 15'360 BASSMOD.dll
14.02.2006 08:58 2'206 wpa.dbl
08.02.2006 06:23 4'513'120 MRT.exe
18.01.2006 13:05 57'344 avsda.dll
08.01.2006 12:00 326'119 vrw97m.vib
07.01.2006 11:31 3'198 qtplugin.log
29.12.2005 03:54 280'064 gdi32(2)(2).dll
29.12.2005 03:54 280'064 gdi32.dll
19.12.2005 13:19 176'167 rmoc3260.dll
19.12.2005 13:19 5'632 pndx5032.dll
19.12.2005 13:19 6'656 pndx5016.dll
19.12.2005 13:19 278'528 pncrt.dll
07.12.2005 15:24 40'960 TickerApi.dll
01.12.2005 04:31 1'492'480 shdocvw(2)(2).dll



Verzeichnis von C:\DOKUME~1\JAN~1.JAN\LOKALE~1\Temp




Verzeichnis von C:\WINDOWS

17.02.2006 14:21 664'910 ntbtlog.txt
17.02.2006 13:45 2'048 bootstat.dat
17.02.2006 13:44 1'163'638 WindowsUpdate.log
17.02.2006 13:04 0 0.log
17.02.2006 13:04 159 wiadebug.log
17.02.2006 13:04 50 wiaservc.log
17.02.2006 10:48 757 win.ini
16.02.2006 23:44 32'244 SchedLgU.Txt
16.02.2006 22:51 54'156 QTFont.qfn
16.02.2006 22:06 62 ad_av_2_h_0001.ini
16.02.2006 21:53 64 avfile_dir.ini
16.02.2006 19:10 701'032 setupapi.log
16.02.2006 08:15 27'268 wmsetup.log
15.02.2006 12:01 259'713 vrscript.vib
14.02.2006 15:27 391 MAXLINK.INI
14.02.2006 11:53 1'409 QTFont.for
28.01.2006 23:21 64 SYSTEM.ldb
26.01.2006 01:06 61 ORChart.Ini
25.01.2006 21:19 35'517 orisetup.log
25.01.2006 21:07 131'072 SYSTEM.MDA
25.01.2006 20:57 1'296 ODBC.INI
25.01.2006 20:56 37 Server.INI
11.01.2006 18:03 14'356 tabletoc.log
11.01.2006 18:03 15'792 ocmsn.log
11.01.2006 18:03 135'878 tsoc.log
11.01.2006 18:03 63'010 ntdtcsetup.log
11.01.2006 18:03 367'068 iis6.log
11.01.2006 18:03 1'374 imsins.log
11.01.2006 18:03 104'910 comsetup.log
11.01.2006 18:03 10'064 KB908519.log
11.01.2006 18:03 148'626 ocgen.log
11.01.2006 18:03 20'130 MedCtrOC.log
11.01.2006 18:03 14'417 msgsocm.log
11.01.2006 18:03 49'354 netfxocm.log
11.01.2006 18:03 297'144 FaxSetup.log
11.01.2006 18:03 98'524 msmqinst.log
08.01.2006 21:49 1'355 imsins.BAK
08.01.2006 21:49 30'806 KB896424.log
08.01.2006 21:49 23'793 KB910437.log
08.01.2006 21:49 25'431 updspapi.log
08.01.2006 21:49 41'754 KB905915.log
08.01.2006 21:49 28'956 hpoins03.dat
08.01.2006 21:49 28'956 hpoins03.dat.temp
08.01.2006 21:48 23'039 KB912919.log
08.01.2006 12:00 326'119 vrw97m.vib
19.12.2005 13:22 25 cdplayer.ini
14.12.2005 15:16 0 QuickInstall.INI
05.12.2005 08:42 4 data4711.bak
05.12.2005 08:42 4 info147.sys
05.12.2005 08:42 4 num41.jbd



Verzeichnis von C:\

17.02.2006 14:27 0 sys.txt
17.02.2006 14:26 9'397 system.txt
17.02.2006 14:26 137 systemtemp.txt
17.02.2006 14:25 108'985 system32.txt
17.02.2006 13:45 2'145'386'496 pagefile.sys
16.02.2006 16:40 7 NOTACER.ID
21.10.2005 10:38 17 log.txt
05.10.2005 13:58 4'128 INFCACHE.1
05.10.2005 11:55 211 boot.ini
27.09.2005 23:34 4'412 dell.sdr
13.08.2004 12:54 0 CONFIG.SYS
13.08.2004 12:54 0 IO.SYS
13.08.2004 12:54 0 MSDOS.SYS
13.08.2004 12:54 0 AUTOEXEC.BAT
04.08.2004 14:00 4'952 bootfont.bin
04.08.2004 14:00 47'564 NTDETECT.COM
04.08.2004 14:00 251'184 ntldr
17 Datei(en) 2'145'817'490 Bytes
0 Verzeichnis(se), 145'407'488'000 Bytes frei

Logfile of HijackThis v1.99.1
Scan saved at 15:04:14, on 17.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dict.leo.org/?lp=ende&lang=de&searchLoc=0&cmpType=relaxed&relink=on&sectHdr=on&spellToler=std&search=yes
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Swissquote Ltd - {4E7BD74F-2B8D-469E-D7EC-EF6EA084A97D} - C:\WINDOWS\DOWNLO~1\sqtbpre.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPpromo psc 2400 series] "C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 2400 series" -r
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Sonic\Sonic Solutions Product CD\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Vrmon] C:\Programme\ViRobotXP\vrmonnt.exe Main
O4 - HKLM\..\Run: [BLUEWIN_McciTrayApp] C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Opware15] "C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ScanSoft OmniPage 15.0-reminder] "C:\Programme\ScanSoft\OmniPage15.0\Ereg\ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\OmniPage15.0\Ereg\ereg.ini"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [OpAgent] "C:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe" /agent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O4 - Global Startup: Omega Research Task Scheduler.lnk = C:\Programme\Omega Research\Program\orschd.exe
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\Programme\pc-bib\PCLib.exe
O4 - Global Startup: Quick Help.lnk = C:\Programme\Bluewin\Quick Help\bin\matcli.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=
http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_premium.pl?1&6&04.00.09.13&premium&unknown&http://www.
toyota.com/vehicles/2006/sienna/key_features/ext360.html?noreloadredir

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4E7BD74F-2B8D-469E-D7EC-EF6EA084A97D} (Swissquote Ltd) - http://premium.swissquote.ch/toolbar/sqtbpre.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129029732328
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129029716281
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - http://www.tradesignal.com/wpa/tsb/2.7.0.42/components/tsbt-2-7-0-42.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avs6_on - Unknown owner - C:\Programme\DATA BECKER\Antivirus 2006\Antivirus\avs6_on.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: ViRobot Expert Monitoring (vrmonsvc) - HAURI - C:\Programme\ViRobotXP\vrmonsvc.exe
Seitenanfang Seitenende
17.02.2006, 17:52
...neu hier

Beiträge: 10
#7 Hallo. selbes problem.
habe bereits cleanup und hijackthis laufen lassen und schon eine onoes.exe entfernt, aber das problem besteht immer noch.

hier die 4 datfindbat logfiles.

vielen dank für hilfe.
j.

Verzeichnis von C:\WINDOWS\system32

17.02.2006 17:22 890 vsconfig.xml
17.02.2006 17:21 3.731 nvapps.xml
12.02.2006 15:47 2.206 wpa.dbl
11.02.2006 19:39 62.464 bszip.dll
11.02.2006 19:39 0 cmd.com
11.02.2006 19:39 0 taskkill.com
11.02.2006 19:39 0 tasklist.com
11.02.2006 19:39 0 tracert.com
11.02.2006 19:39 0 regedit.com
11.02.2006 19:39 0 netstat.com
11.02.2006 19:39 0 ping.com
18.01.2006 13:05 57.344 avsda.dll
30.10.2005 13:52 48.156 perfc007.dat
30.10.2005 13:52 39.992 perfc009.dat
30.10.2005 13:52 311.604 perfh009.dat
30.10.2005 13:52 316.594 perfh007.dat
30.10.2005 13:52 723.744 PerfStringBackup.INI
15.09.2005 02:16 120.544 FNTCACHE.DAT

Verzeichnis von C:\WINDOWS

17.02.2006 17:36 569.834 setupapi.log
17.02.2006 17:22 0 0.log
17.02.2006 17:21 2.048 bootstat.dat
17.02.2006 17:20 80.918 WindowsUpdate.log
17.02.2006 17:13 488.556 ntbtlog.txt
17.02.2006 17:06 216 wiadebug.log
17.02.2006 16:38 50 wiaservc.log
17.02.2006 16:04 135 NeroDigital.ini
17.02.2006 13:45 192 winamp.ini
15.02.2006 12:17 150 cdplayer.ini
11.02.2006 15:03 54.156 QTFont.qfn
07.02.2006 12:05 1.409 QTFont.for
22.01.2006 17:29 139 msicpl.ini
30.11.2005 00:19 636 win.ini
23.11.2005 12:36 972 scummvm.ini
27.10.2005 15:30 75.285 wmsetup.log
29.08.2005 20:55 43 P2kRotate.ini

Verzeichnis von C:\

17.02.2006 17:38 0 sys.txt
17.02.2006 17:38 632 systemtemp.txt
17.02.2006 17:38 6.029 system.txt
17.02.2006 17:35 108.240 system32.txt
17.02.2006 17:21 805.306.368 pagefile.sys
01.10.2005 19:21 2.735.130 ArturiaScreen.bmp

Verzeichnis von C:\DOKUME~1\hiro\LOKALE~1\Temp

17.02.2006 17:23 0 nsq38.tmp
17.02.2006 17:21 16.384 ~DF95D1.tmp
17.02.2006 17:21 1.248 jusched.log
17.02.2006 17:20 130.559 A~NSISu_.exe
17.02.2006 17:19 5.851 plf1.tmp
17.02.2006 17:08 16.384 ~DF64C2.tmp
17.02.2006 17:00 0 CacheInfo.dnl
17.02.2006 16:36 16.384 ~DF6872.tmp

und nach erneutem systemstart und virencheck mit antivir wird immer noch
c:\windows\system32\winlog.exe als infiziert mit worm\rbot174080 gemeldet.
Dieser Beitrag wurde am 17.02.2006 um 18:35 Uhr von julilectric editiert.
Seitenanfang Seitenende
18.02.2006, 00:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 zerinol

es sind Fehler beim Saeubern aufgetreten:

manuell loeschen:
C:\Dokumente und Einstellungen\Daniele\Complete
C:\Programme\outlook\p.zip/Setup.exe
C:\Programme\outlook\p.zip
C:\Programme\outlook

den Sophos-Scan fuehrst du genauso aus, wie es auf meiner Seite erklaert ist, man muss den Virenscanner nicht haben, es ist in diesem Fall ein separates Tool
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2006, 01:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Jshah

es ist nichts zu sehen, auch nicht unter c:\
Scanne also mit der bfu und mit ewido und sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2006, 01:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 julilectric

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\DOKUME~1\hiro\LOKALE~1\Temp\A~NSISu_.exe
C:\DOKUME~1\hiro\LOKALE~1\Temp\plf1.tmp
C:\DOKUME~1\hiro\LOKALE~1\Temp\nsq38.tmp
c:\windows\system32\winlog.exe
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\Programme\outlook\p.zip\Setup.exe
C:\Programme\outlook\p.zip
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\bszip.dll

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

loeschen/deinstallieren

C:\Programme\outlook
C:\Dokumente und Einstellungen\Username\Complete

Scanne mit der bfu und mit ewido und sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.02.2006, 14:37
...neu hier

Beiträge: 2
#11 Hallo habe ein ähnliches Problem wie die meisten hier!

Bitte helft mir, bin grad tierisch im Klausurstress!Hier schicke ich das logfile von hijackthis.
Vielen Dank für die Hilfe

Logfile of HijackThis v1.99.1
Scan saved at 14:12:51, on 19.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\outlook\outlook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\Rar$EX00.907\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awi.uni-heidelberg.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RSS Commanda] /xyz
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [seekmo] C:\Programme\Seekmo\seekmo.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1124.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
19.02.2006, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Günther83

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [seekmo] C:\Programme\Seekmo\seekmo.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe

PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien
. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.02.2006, 20:17
...neu hier

Beiträge: 2
#13 Zuerst mal vielen Dank für die schnelle Antwort!

Habe jetzt mal alles so gemacht wie ich die Anweisungen bekam!
Hier sind noch die vier datfindbat logfiles! Nochmals Danke für die schnelle Hilfe!

Verzeichnis von C:\WINDOWS\system32

19.02.2006 18:42 29.282 nvapps.xml
17.02.2006 12:14 15.557 lckfldservicelog.txt
15.02.2006 17:37 2.206 wpa.dbl
11.02.2006 12:54 62.464 bszip.dll
11.02.2006 12:54 0 regedit.com
11.02.2006 12:54 0 cmd.com
11.02.2006 12:54 0 tasklist.com
11.02.2006 12:54 0 taskkill.com
11.02.2006 12:54 0 tracert.com
11.02.2006 12:54 0 ping.com
11.02.2006 12:54 0 netstat.com
10.02.2006 17:28 190 mslck.dat

08.02.2006 06:23 4.513.120 MRT.exe
21.01.2006 17:30 23.392 nscompat.tlb
21.01.2006 17:30 16.832 amcompat.tlb
18.01.2006 13:05 57.344 avsda.dll
05.01.2006 10:29 238.352 FNTCACHE.DAT
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
18.11.2005 11:20 30 brss01a.ini
18.11.2005 11:20 184 brsvc01a.bsi
18.11.2005 11:16 50 bridf05a.dat

Verzeichnis von C:\DOKUME~1\Tobias\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS

19.02.2006 19:55 644.948 setupapi.log
19.02.2006 18:42 259 wiadebug.log
19.02.2006 18:42 6.104 ModemLog_Bluetooth DUN Modem.txt
19.02.2006 18:42 6.098 ModemLog_Bluetooth Fax Modem.txt
19.02.2006 18:42 0 0.log
19.02.2006 18:42 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
19.02.2006 18:42 1.978.946 WindowsUpdate.log
19.02.2006 18:41 50 wiaservc.log
19.02.2006 18:41 2.048 bootstat.dat
19.02.2006 18:41 32.544 SchedLgU.Txt
15.02.2006 18:06 923 spupdsvc.log
15.02.2006 17:53 21.391 ocmsn.log
15.02.2006 17:53 1.374 imsins.log
15.02.2006 17:53 82.449 ntdtcsetup.log
15.02.2006 17:53 155.234 tsoc.log
15.02.2006 17:53 60.877 iis6.log
15.02.2006 17:53 136.844 comsetup.log
15.02.2006 17:53 10.787 KB911927.log
15.02.2006 17:53 19.531 msgsocm.log
15.02.2006 17:53 198.001 ocgen.log
15.02.2006 17:53 395.044 FaxSetup.log
15.02.2006 17:53 27.379 updspapi.log
15.02.2006 17:53 1.374 imsins.BAK
15.02.2006 17:53 8.825 KB911564.log
15.02.2006 17:53 111.759 wmsetup.log
15.02.2006 17:52 9.084 KB911565.log
15.02.2006 17:52 9.861 KB901190.log
15.02.2006 17:52 6.799 KB913446.log
13.02.2006 18:44 2.560 _MSRSTRT.EXE
12.02.2006 19:02 116 NeroDigital.ini
12.02.2006 17:24 1.409 QTFont.for
12.02.2006 17:24 54.156 QTFont.qfn
01.02.2006 17:39 0 opad.exe
21.01.2006 17:32 459 wmsetup10.log
21.01.2006 17:29 316.640 WMSysPr9.prx
21.01.2006 17:24 5.505 Q828026.log
15.01.2006 14:38 230.794 setupact.log
11.01.2006 20:40 10.166 KB908519.log
06.01.2006 13:15 630.784 fpuninst.exe
06.01.2006 13:13 757 win.ini
06.01.2006 11:07 11.069 KB912919.log
04.01.2006 17:52 518 ODBC.INI
31.12.2005 13:20 290.816 Setup1.exe
31.12.2005 13:20 1.708 ST6UNST.000
31.12.2005 13:20 74.752 ST6UNST.EXE
22.12.2005 16:26 99.970 UninstallFirefox.exe
22.12.2005 16:26 4.202 mozver.dat
14.12.2005 17:51 9.961 KB910437.log
14.12.2005 17:51 16.997 KB905915.log
24.11.2005 15:07 468 BRWMARK.INI
18.11.2005 11:20 27 BRPP2KA.INI
18.11.2005 11:16 205 Brpfx04a.ini
18.11.2005 11:16 92 brpcfx.ini

Verzeichnis von C:\

19.02.2006 20:15 0 sys.txt
19.02.2006 20:14 10.850 system.txt
19.02.2006 20:14 125 systemtemp.txt
19.02.2006 20:13 106.352 system32.txt
19.02.2006 18:41 536.399.872 hiberfil.sys
19.02.2006 18:41 805.306.368 pagefile.sys
10.04.2005 15:01 1.097 log.txt
24.11.2004 21:22 211 boot.ini
22.10.2004 20:17 100 AUTOEXEC.BAT
12.10.2004 13:32 102 Platform.ini
12.10.2004 09:05 776 IPH.PH
11.10.2004 19:57 0 CONFIG.SYS
11.10.2004 19:57 0 IO.SYS
11.10.2004 19:57 0 MSDOS.SYS
Seitenanfang Seitenende
19.02.2006, 22:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Günther83

outlook
http://virus-protect.org/artikel/spyware/outlook.html

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\Programme\outlook\p.zip\Setup.exe
C:\Programme\outlook\p.zip
C:\WINDOWS\system32\mslck.dat
C:\WINDOWS\opad.exe

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

deinstallieren-loeschen
C:\Programme\Seekmo
C:\Programme\outlook
C:\Programme\BearShare
C:\Programme\MediaGateway

Scanne mit der bfu und mit ewido und sophos
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

wenn das abgearbeitet ist, scanne noch mit Counterspy und loesche alles, was das Tool findet
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.02.2006, 17:33
...neu hier

Beiträge: 2
#15 Hallo ich habe das gleiche probelm wie meine vorgänger.leider hab ich davon NULL ahnung.Kann mir da bitte jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 17:32:41, on 23.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\outlook\outlook.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\Programme\CleanUp!\Cleanup.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan Hoffmann\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [GTV GlobalIM] C:\Programme\Blowsearch Secured Messenger\global.im.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF16D4F-4931-4FC5-9137-1371DC5C44E7}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: