Home » Spyware & Browser Hijacker Support Forum » pc läuft langsamer + popup beim hochfahren » Themenansicht

pc läuft langsamer + popup beim hochfahren

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.02.2006, 22:53
DaveX
...neu hier

Beiträge: 6
#1 hi,
habn problem das mein rechner seit kurzem beim spielen langsamer läuft als früher. hab nix installiert und sonst eigentlich nichts geändert. beim start von windows kommt seit kurzem auch immer so nen komisches popup mit links etc.
hab neuerdings auch 2 toolbars im explorer einen von google (kommt wahrscheinlich vom divx player) und irgendne englische die ich beide gerne weg hätte aber keine ahnung wie ;)

wäre nett wenn sich ma jemand den log anschauen könnte und ggf. irgendwie helfen könnte

Danke im voraus


Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:40:10, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\mIRC\mirc.exe
C:\Programme\ICQ\Icq.exe
c:\warcraft iii\war3.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: (no name) - {46E3667D-67EB-3BB7-9C04-8CAC2DB1C0D4} - DCC_send.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ms-its] avpmondll.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [msag] avpmondll.exe
O4 - Global Startup: Sinus 1054 data.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{736906CA-F3F8-4214-AFFC-7DB6A7AB8090}: NameServer = 85.255.116.72,85.255.112.206
O20 - Winlogon Notify: st3 - C:\WINDOWS\q3020187_disk.dll (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Seitenanfang Seitenende
02.03.2006, 15:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 DaveX

der PC ist verseucht mit:
C:\Programme\UnSpyPC (Wareout)
Die internetverbindung geht in die Ukraine......
http://virus-protect.org/artikel/spyware/idemlog.html

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{736906CA-F3F8-4214-AFFC-7DB6A7AB8090}: NameServer = 85.255.116.72,85.255.112.206
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> poste sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.03.2006, 17:27
DaveX
...neu hier

Themenstarter

Beiträge: 6
#3 Verzeichnis von C:\WINDOWS\system32

02.03.2006 14:20 21.961 nvapps.xml
02.03.2006 06:20 4.984 close.bmp
02.03.2006 06:20 19.712 insurance.bmp
02.03.2006 06:20 11.772 spyware.bmp
02.03.2006 06:20 21.224 xxx.bmp
02.03.2006 06:20 21.872 pharmacy.bmp
02.03.2006 06:20 21.872 dating.bmp
02.03.2006 06:20 23.480 gambling.bmp
02.03.2006 06:20 387 idesk.conf
27.02.2006 14:19 2.206 wpa.dbl
25.02.2006 20:15 16.832 amcompat.tlb
25.02.2006 20:15 23.392 nscompat.tlb
07.02.2006 21:28 4.513.120 MRT.exe
06.02.2006 20:42 86.016 dpl100.dll
06.02.2006 20:42 593.920 dpuGUI11.dll
06.02.2006 20:42 200.704 dtu100.dll
06.02.2006 20:41 339.968 dpus11.dll
06.02.2006 20:41 57.344 dpv11.dll
06.02.2006 20:41 294.912 dpu11.dll
06.02.2006 20:41 294.912 dpu10.dll
06.02.2006 20:41 716.800 divxdec.ax
06.02.2006 20:41 574.976 DivX.dll
06.02.2006 20:41 679.936 divx_xx07.dll
06.02.2006 20:41 679.936 divx_xx0c.dll
06.02.2006 20:41 663.552 divx_xx11.dll
04.02.2006 08:08 7.006 jupdate-1.5.0_06-b05.log
21.01.2006 03:41 12.288 DivXWMPExtType.dll
14.01.2006 00:18 90.296 FNTCACHE.DAT
14.01.2006 00:17 2.880 MRT.INI
11.01.2006 11:25 70.144 st3.dll
11.01.2006 10:06 109.568 idemlog.exe
11.01.2006 10:06 155.648 rsxbo.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll


Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp

02.03.2006 14:30 618 jusched.log
02.03.2006 07:41 4.592 SIntfIcn.ani
02.03.2006 07:41 24.516 SIntfNT.dll
02.03.2006 07:41 19.924 SIntf32.dll
02.03.2006 07:41 12.067 SIntf16.dll
02.03.2006 07:41 36.864 CmdLineExt02.dll
6 Datei(en) 98.581 Bytes
0 Verzeichnis(se), 25.702.309.888 Bytes frei


Verzeichnis von C:\WINDOWS

02.03.2006 14:20 1.990.971 WindowsUpdate.log
02.03.2006 14:20 0 0.log
02.03.2006 14:20 2.048 bootstat.dat
02.03.2006 07:44 32.630 SchedLgU.Txt
02.03.2006 07:24 155 winamp.ini
01.03.2006 14:52 4.395 rdt.ini
27.02.2006 14:19 1.830 spupdsvc.log
26.02.2006 14:18 8.414 KB911565.log
26.02.2006 14:18 10.836 wmsetup.log
26.02.2006 14:18 299.455 setupapi.log
25.02.2006 20:18 459 wmsetup10.log
25.02.2006 20:13 316.640 WMSysPr9.prx
21.02.2006 20:38 227 system.ini
21.02.2006 20:38 506 win.ini
19.02.2006 17:28 343.890 iis6.log
19.02.2006 17:28 63.257 ntdtcsetup.log
19.02.2006 17:28 107.206 comsetup.log
19.02.2006 17:28 15.933 ocmsn.log
19.02.2006 17:28 134.311 tsoc.log
19.02.2006 17:28 1.374 imsins.log
19.02.2006 17:28 14.936 tabletoc.log
19.02.2006 17:28 13.274 KB911927.log
19.02.2006 17:28 50.442 netfxocm.log
19.02.2006 17:28 143.036 ocgen.log
19.02.2006 17:28 20.187 MedCtrOC.log
19.02.2006 17:28 14.467 msgsocm.log
19.02.2006 17:28 283.580 FaxSetup.log
19.02.2006 17:28 93.460 msmqinst.log
19.02.2006 17:28 18.328 updspapi.log
19.02.2006 17:28 1.374 imsins.BAK
14.01.2006 00:15 11.818 KB908519.log
11.01.2006 10:06 6.400 balloon.wav
11.01.2006 01:19 216 wiadebug.log
10.01.2006 17:58 54.886 War3Unin.dat
10.01.2006 17:04 50 wiaservc.log
05.01.2006 23:00 25 WinOnCD.ini
02.12.2005 18:01 4.096 d3dx.dat


Verzeichnis von C:\

02.03.2006 17:22 0 sys.txt
02.03.2006 17:21 7.194 system.txt
02.03.2006 17:21 543 systemtemp.txt
02.03.2006 17:17 97.011 system32.txt
02.03.2006 14:20 1.072.484.352 hiberfil.sys
02.03.2006 14:20 1.610.612.736 pagefile.sys
21.02.2006 20:38 211 boot.ini
08.02.2006 00:10 55.557.906 060121_sw_skyvsgrubby_sky1.wmv
03.01.2006 21:36 318.775 CleanUp40.exe
03.01.2006 21:18 5.037.072 spybotsd14.exe
08.09.2005 18:27 5.862.994 ts2_client_rc2_2032.exe
01.09.2005 19:52 4.425.719 zindars_ui_0720.rar
01.09.2005 11:37 4.450 NumericReputation.zip
01.09.2005 11:29 1.334 CastingBarTime.zip
31.08.2005 15:49 429 TO_InstallLog.txt
31.08.2005 15:22 0 CONFIG.SYS
31.08.2005 15:22 0 AUTOEXEC.BAT
31.08.2005 15:22 0 IO.SYS
31.08.2005 15:22 0 MSDOS.SYS
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
23.08.2001 11:00 4.952 bootfont.bin
22 Datei(en) 2.754.714.426 Bytes
0 Verzeichnis(se), 25.702.297.600 Bytes frei


Log-Datei von Blacklight:

03/02/06 17:24:44 [Info]: BlackLight Engine 1.0.33 initialized
03/02/06 17:24:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/02/06 17:24:44 [Note]: 7019 4
03/02/06 17:24:44 [Note]: 7005 0
03/02/06 17:24:55 [Note]: 7006 0
03/02/06 17:24:56 [Note]: 7011 2016
03/02/06 17:24:56 [Note]: FSRAW library version 1.7.1015
03/02/06 17:25:27 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
03/02/06 17:25:27 [Note]: 10002 1
03/02/06 17:25:28 [Info]: Hidden file: C:\WINDOWS\system32\csvmp.exe
03/02/06 17:25:28 [Note]: 7002 32
03/02/06 17:25:28 [Note]: 7003 1
03/02/06 17:25:28 [Note]: 10002 1
03/02/06 17:25:29 [Info]: Hidden file: C:\WINDOWS\system32\dmpeq.exe
03/02/06 17:25:29 [Note]: 7002 32
03/02/06 17:25:29 [Note]: 7003 1
03/02/06 17:25:29 [Note]: 10002 1
03/02/06 17:25:30 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
03/02/06 17:25:30 [Note]: 10002 1
03/02/06 17:25:30 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
03/02/06 17:25:30 [Note]: 10002 1
03/02/06 17:25:34 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
03/02/06 17:25:34 [Note]: 10002 1
03/02/06 17:25:36 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
03/02/06 17:25:36 [Note]: 10002 1
03/02/06 17:25:38 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
03/02/06 17:25:38 [Note]: 10002 1
03/02/06 17:26:08 [Note]: 7007 0
Seitenanfang Seitenende
03.03.2006, 01:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 DaveX


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\system32\close.bmp
C:\WINDOWS\system32\insurance.bmp
C:\WINDOWS\system32\spyware.bmp
C:\WINDOWS\system32\xxx.bmp
C:\WINDOWS\system32\pharmacy.bmp
C:\WINDOWS\system32\dating.bmp
C:\WINDOWS\system32\gambling.bmp
C:\WINDOWS\system32\idesk.conf
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\st3.dll
C:\WINDOWS\system32\rsxbo.dll
C:\WINDOWS\system32\idemlog.exe
C:\WINDOWS\system32\csvmp.exe
C:\WINDOWS\system32\dmpeq.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\rdt.ini

PC neustarten


damit wird auch die Internetverbindung geloescht...du musst nach neustart eine neue erstellen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {46E3667D-67EB-3BB7-9C04-8CAC2DB1C0D4} - DCC_send.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll
O4 - HKLM\..\Run: [ms-its] avpmondll.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [msag] avpmondll.exe

O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{736906CA-F3F8-4214-AFFC-7DB6A7AB8090}: NameServer = 85.255.116.72,85.255.112.206
O20 - Winlogon Notify: st3 - C:\WINDOWS\q3020187_disk.dll (file missing)


nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

loesche /deinstalliere
C:\Programme\UnSpyPC

SmitfraudFix--> scanne Option 1 und 2
http://virus-protect.org/artikel/tools/smitfrautfix.html

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten -->

poste den scanreport vom Silentrunner
http://virus-protect.org/silentrunner.html

[dann erstelle ich noch eine Datei, um die Registry zu saeubern...und es folgen Virenscanns]
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.03.2006, 13:16
DaveX
...neu hier

Themenstarter

Beiträge: 6
#5 Log von Fixwareout:


Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xxzmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmzxx.exe"=-
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\DMZXX.EXE
C:\WINDOWS\SYSTEM32\CSQVX.EXE
* csr.exe C:\WINDOWS\System32\CSQVX.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool


Scanreport Silentrunners:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"AdaptecDirectCD" = ""C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"" ["Roxio"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Roxio\WINONC~1\DirectCD\Shellex.dll" ["Roxio"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}" = "st3"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q3020187_disk.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "David" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Sinus 1054 data" -> shortcut to: "C:\Programme\DT\Sinus 1054 data\Wifiusb.exe" ["TECOM"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{46E3667D-67EB-3BB7-9C04-8CAC2DB1C0D4}" = "trycrt"
-> {CLSID}\InProcServer32\(Default) = "DCC_send.dll" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 30 seconds, including 18 seconds for message boxes)


Mfg DaveX
Dieser Beitrag wurde am 05.03.2006 um 13:20 Uhr von DaveX editiert.
Seitenanfang Seitenende
05.03.2006, 13:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{46E3667D-67EB-3BB7-9C04-8CAC2DB1C0D4}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}"=-

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
dann scanne mit ewido (am besten im abgesicherten modus) und poste den scanreport
http://virus-protect.org/ewido.html
+
das neue Log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.03.2006, 19:56
DaveX
...neu hier

Themenstarter

Beiträge: 6
#7 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:51:36, 05.03.2006
+ Report-Checksumme: DC8393FD

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} -> Downloader.Delf : Gesäubert mit Backup
C:\!KillBox\favset.exe -> Trojan.Favadd.an : Gesäubert mit Backup
C:\!KillBox\filesafer23.exe -> Hijacker.Small : Gesäubert mit Backup
C:\!KillBox\howiper.exe -> Trojan.Qhost.df : Gesäubert mit Backup
C:\!KillBox\pppcgm.exe -> Adware.Msnagent : Gesäubert mit Backup
C:\!KillBox\sphlp32.exe -> Adware.FindSpy : Gesäubert mit Backup

:mozilla.7:C:\Dokumente und Einstellungen\David\Anwendungsdaten\Mozilla\Firefox\Profiles\4yovmm2i.default\cookies.txt
C:\Dokumente und Einstellungen\David\Cookies\david@z1.adserver[1].txt -> TrackingCookie.Adserver : Gesäubert mit Backup
C:\Hijackthis\backups\backup-20060302-064119-902.dll -> Adware.SBSoft : Gesäubert mit Backup
C:\WINDOWS\system32\csqvx.exe -> Downloader.Agent.uj : Gesäubert mit Backup


::Report Ende

Hab alle infizierten dateien entfernen lassen. Hoffe das ich nichts falsch gemacht hab.



Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:55:38, on 05.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Sinus 1054 data.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Seitenanfang Seitenende
05.03.2006, 21:17
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 DaveX

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.03.2006, 23:13
DaveX
...neu hier

Themenstarter

Beiträge: 6
#9 -------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, March 05, 2006 11:12:31 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 5/03/2006
Kaspersky Anti-Virus database records: 169398
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 28261
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 00:26:49

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\dmzxx.exe Infected: Trojan.Win32.Small.fb skipped

Scan process completed.
Seitenanfang Seitenende
06.03.2006, 11:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 loesche diese Datei C:\WINDOWS\system32\dmzxx.exe

dann scanne noch mal, denn es kann sein, dass sich die exe unter anderem Namen neu erstellt hat.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2006, 19:24
DaveX
...neu hier

Themenstarter

Beiträge: 6
#11 hab nochma gescannt und wurde nichts mehr gefunden.

Vielen Dank für deine Mühe und Hilfe ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1