Spywarebefall, Werbefenster öffnen sich ständig

#0
22.03.2006, 19:25
...neu hier

Beiträge: 6
#1 Hallo liebe Forenmitglieder,

Ihr seit die letzten die mir bei meinem Problem helfen können. Ich kann nicht mehr normal surfen, da sich immer irgenwelche Fenster mit Werbung öffnen.

Ich hab hier mal mein Hijack Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:14:33, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116081704129
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D2544F8-CC09-45C8-8891-4D50D0BEAB51}: NameServer = 62.26.26.62,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F67419A4-D53E-48FC-89F8-3A2F4A6670A3}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{6D2544F8-CC09-45C8-8891-4D50D0BEAB51}: NameServer = 62.26.26.62,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{6D2544F8-CC09-45C8-8891-4D50D0BEAB51}: NameServer = 62.26.26.62,194.25.2.129
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\t2r8lc9u1f.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Vielen Dank im voraus!!!

Bis dann
Seitenanfang Seitenende
22.03.2006, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Franzl_86

kein Problem...das loesen wir schnell ;)

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.03.2006, 20:27
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina,

vielen Dank für deine schnelle Antwort. Hier die 4 Textdateien.

Verzeichnis von C:\WINDOWS\system32

24.03.2006 20:20 237.287 guard.tmp
24.03.2006 20:20 235.632 MHSTKPRP.DLL
24.03.2006 20:19 236.073 l06olaj31do.dll
24.03.2006 17:16 236.073 ifaapi.dll
23.03.2006 23:09 235.632 fp0s03d7e.dll
23.03.2006 20:07 235.632 wknsta.dll
23.03.2006 14:31 236.073 ombc32gt.dll
22.03.2006 21:42 235.060 wzhisn.dll
22.03.2006 19:11 235.047 eoent97.dll
22.03.2006 17:38 233.739 hizcoi05.dll
21.03.2006 20:35 235.616 plcCllct.dll
21.03.2006 20:35 13.646 wpa.dbl
18.03.2006 11:58 233.802 mhvcr71.dll
17.03.2006 15:10 236.692 okbctrac.dll
16.03.2006 20:46 236.891 cndial32.dll
16.03.2006 16:37 235.304 muls31.dll
15.03.2006 14:52 236.626 mtgsvc.dll
14.03.2006 21:44 234.668 aaycfilt.dll
14.03.2006 14:57 236.626 vgs_ps.dll
14.03.2006 10:27 234.668 wcbcheck.dll
13.03.2006 18:39 236.081 ilakui.dll
13.03.2006 15:13 234.404 kfdcz2.dll
13.03.2006 11:56 235.437 dhsshlex.dll
12.03.2006 13:15 234.188 tKpiperf.dll
11.03.2006 22:37 234.125 wrpdxm.dll
10.03.2006 19:54 236.906 uyiplat.dll
10.03.2006 17:13 236.996 ovecli32.dll
10.03.2006 07:22 234.955 aficap32.dll
09.03.2006 20:30 235.418 mrdsrv32.dll
09.03.2006 16:25 234.550 dkghelp.dll
09.03.2006 14:37 233.755 vymdbg.dll
08.03.2006 19:28 234.097 aqmparse.dll
08.03.2006 16:03 236.544 myisip.dll
06.03.2006 15:20 236.544 Avrtl30.dll
05.03.2006 15:20 235.729 ixetcomm.dll
03.03.2006 19:00 234.605 sbhedsvc.dll
03.03.2006 12:23 235.326 omdbse32.dll
02.03.2006 12:17 234.402 iRsrecst.dll
01.03.2006 07:34 234.402 szdpsrv.dll
28.02.2006 18:09 236.299 kxdmlt48.dll
28.02.2006 07:53 234.004 cmmpatUI.dll
27.02.2006 19:52 234.332 mjdtcprx.dll
26.02.2006 15:43 234.004 didskmgr.dll
25.02.2006 20:16 237.228 rMssapi.dll
25.02.2006 16:41 235.109 uxdmxfrm.dll
25.02.2006 12:40 235.215 inxpromn.dll
24.02.2006 17:02 235.109 dznhpast.dll
22.02.2006 21:59 236.155 mbxmlr.dll
22.02.2006 18:34 234.547 cyypt32.dll
22.02.2006 14:09 234.186 hL23msp.dll
15.02.2006 18:44 234.084 CQDLGDE.DLL
14.02.2006 21:38 234.186 l0l6la3s1d.dll
13.02.2006 21:43 233.912 mldsrv32.dll
12.02.2006 11:34 236.789 modscli.dll
11.02.2006 13:17 236.678 MTMPIDE.DLL
08.02.2006 18:29 236.678 MnSIDD.dll
05.02.2006 19:38 236.678 JRIQ500.DLL
04.02.2006 11:51 235.768 satupapi.dll
04.02.2006 11:48 234.598 kqdfi1.dll
28.01.2006 17:03 235.280 wdiscmgr.dll
28.01.2006 08:05 233.982 rpmotepg.dll
26.01.2006 09:53 233.311 azsnds.dll
25.01.2006 12:06 237.324 mnvbvm50.dll
23.01.2006 20:29 237.324 kjdfi1.dll
17.01.2006 14:39 236.511 cwsetACL.dll
16.01.2006 09:17 236.281 kodkyr.dll
13.01.2006 17:29 237.314 czdial32.dll
12.01.2006 15:12 236.281 nrtplwiz.dll
11.01.2006 16:11 237.314 rUcpldlg.dll
09.01.2006 13:43 236.281 dcrgres.dll
06.01.2006 20:24 12 tickcnt.bin
06.01.2006 19:39 67.072 msctl32.dll
06.01.2006 19:39 73.728 p2p.exe
06.01.2006 19:39 56.240 paradise.raw.exe
06.01.2006 19:39 66 svcp.csv

05.01.2006 04:41 2.836.320 MRT.exe
03.01.2006 15:31 91.904 S32EVNT1.DLL
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 07:06 120.544 FNTCACHE.DAT
01.12.2005 04:31 1.492.480 shdocvw.dll

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

23.01.2006 15:36 429 datFind.bat
1 Datei(en) 429 Bytes
0 Verzeichnis(se), 35.765.600.256 Bytes frei


Verzeichnis von C:\WINDOWS

24.03.2006 20:20 0 0.log
24.03.2006 20:20 159 wiadebug.log
24.03.2006 20:20 50 wiaservc.log
24.03.2006 20:19 2.048 bootstat.dat
24.03.2006 20:19 1.724.449 WindowsUpdate.log
24.03.2006 20:19 32.584 SchedLgU.Txt
21.03.2006 20:46 116 NeroDigital.ini
28.02.2006 14:14 531.930 setupapi.log
27.02.2006 20:21 1.491 win.ini
18.02.2006 10:08 75 cdplayer.ini
04.02.2006 12:10 50.912 iconu.exe
04.02.2006 12:04 24.296 icont.exe

17.01.2006 14:43 334.443 iis6.log
17.01.2006 14:43 61.181 ntdtcsetup.log
17.01.2006 14:43 131.490 tsoc.log
17.01.2006 14:43 1.374 imsins.log
17.01.2006 14:43 14.667 tabletoc.log
17.01.2006 14:43 103.719 comsetup.log
17.01.2006 14:43 15.591 ocmsn.log
17.01.2006 14:43 10.290 KB908519.log
17.01.2006 14:43 19.773 MedCtrOC.log
17.01.2006 14:43 49.359 netfxocm.log
17.01.2006 14:43 140.120 ocgen.log
17.01.2006 14:43 14.158 msgsocm.log
17.01.2006 14:43 277.396 FaxSetup.log
17.01.2006 14:43 90.704 msmqinst.log
12.01.2006 15:14 0 enewsletterpro1.dat
08.01.2006 13:26 38 drsmartload.dat
08.01.2006 13:26 38 drsmartloadb.dat

07.01.2006 17:08 4.662 mozver.dat
07.01.2006 13:06 2.359.350 Firefox Wallpaper.bmp
06.01.2006 20:52 1.912.886 ACD Wallpaper.cmp
06.01.2006 20:21 1.355 imsins.BAK
06.01.2006 20:21 11.029 KB912919.log
06.01.2006 20:21 21.848 updspapi.log
06.01.2006 19:40 0 drsmartloadb1.dat
06.01.2006 19:38 0 uniq
03.01.2006 17:45 1.989 uninstall_nmon.vbs

02.01.2006 09:26 9.943 KB910437.log


Verzeichnis von C:\

24.03.2006 20:25 0 sys.txt
24.03.2006 20:25 7.904 system.txt
24.03.2006 20:24 293 systemtemp.txt
24.03.2006 20:21 103.763 system32.txt
24.03.2006 20:19 536.399.872 hiberfil.sys
24.03.2006 20:19 804.495.360 pagefile.sys
08.01.2006 13:26 168.484 mc-110-12-0000228.exe
08.01.2006 13:25 25.105 MTE3NDI6ODoxNg.exe
08.01.2006 13:25 14.848 stub_113_4_0_4_0.exe
08.01.2006 13:25 52.480 drsmartloadb.exe

14.05.2005 15:55 0 MSDOS.SYS

Ich hoffe ich habe das so richtig gemacht.

Danke im voraus.
Franz
Seitenanfang Seitenende
24.03.2006, 23:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Franzl_86

es ist wichtig, dass du genau ausfuehrst , was ich schreibe, um die schwere Verseuchung wegzubekommen:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..........

C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\MHSTKPRP.DLL
C:\WINDOWS\system32\CQDLGDE.DLL
C:\WINDOWS\system32\MTMPIDE.DLL
C:\WINDOWS\system32\MnSIDD.dll
C:\WINDOWS\system32\JRIQ500.DLL
C:\WINDOWS\system32\tickcnt.bin
C:\WINDOWS\system32\msctl32.dll
C:\Programme\Network\network.exe
C:\WINDOWS\system32\p2p.exe
C:\WINDOWS\system32\paradise.raw.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\iconu.exe
C:\WINDOWS\icont.exe
C:\WINDOWS\enewsletterpro1.dat
C:\WINDOWS\drsmartload.dat
C:\WINDOWS\drsmartloadb.dat
C:\WINDOWS\drsmartloadb1.dat
C:\WINDOWS\uniq
C:\WINDOWS\uninstall_nmon.vbs
C:\mc-110-12-0000228.exe
C:\MTE3NDI6ODoxNg.exe
C:\stub_113_4_0_4_0.exe
C:\drsmartloadb.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

loesche, falls du es findest:

C:\Programme\Network
C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\InetGet
C:\Programme\Gemeinsame Dateien\InetGet2
C:\Programme\InetGet2
C:\Programme\Gemeinsame Dateien\mc-110-12-0000228.exe

C:\Programme\Gemeinsame Dateien\Windows\ack.html
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows

boote wieder in den Normalmodus

l2mfix
http://virus-protect.org/l2mfix.html
Option 2-starte den pc neu-warte den scan ab-poste den scanreport
+
poste unbedingt noch mal die 4 logs von datfindbat !!
http://virus-protect.org/l2mfix.html

dann beginnen die Virenscanner ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2006, 11:24
...neu hier

Themenstarter

Beiträge: 6
#5 Sabina

OK, Sabina ich habe alles genau so gemacht wie du es beschrieben hast.

Im Anhang habe ich den Scanreport von l2mfix angehängt.

Und hier nochmal die logs von datfindbat:

Verzeichnis von C:\WINDOWS\system32

25.03.2006 11:10 0 lo2.txtt
21.03.2006 20:35 13.646 wpa.dbl
05.01.2006 04:41 2.836.320 MRT.exe
03.01.2006 15:31 91.904 S32EVNT1.DLL
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 07:06 120.544 FNTCACHE.DAT
01.12.2005 04:31 1.492.480 shdocvw.dll

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

25.03.2006 10:53 16.384 ~DFB14B.tmp
08.02.2006 03:02 73.728 KillBox.exe
23.01.2006 15:36 429 datFind.bat

Verzeichnis von C:\WINDOWS

25.03.2006 11:14 0 0.log
25.03.2006 11:14 157 wiadebug.log
25.03.2006 11:14 50 wiaservc.log
25.03.2006 11:13 2.048 bootstat.dat
25.03.2006 11:02 1.748.187 WindowsUpdate.log
25.03.2006 11:01 178.882 ntbtlog.txt
25.03.2006 10:58 32.584 SchedLgU.Txt
24.03.2006 20:36 116 NeroDigital.ini
28.02.2006 14:14 531.930 setupapi.log
27.02.2006 20:21 1.491 win.ini
18.02.2006 10:08 75 cdplayer.ini
17.01.2006 14:43 334.443 iis6.log
17.01.2006 14:43 61.181 ntdtcsetup.log
17.01.2006 14:43 1.374 imsins.log
17.01.2006 14:43 14.667 tabletoc.log
17.01.2006 14:43 131.490 tsoc.log
17.01.2006 14:43 103.719 comsetup.log
17.01.2006 14:43 15.591 ocmsn.log
17.01.2006 14:43 10.290 KB908519.log
17.01.2006 14:43 19.773 MedCtrOC.log
17.01.2006 14:43 49.359 netfxocm.log
17.01.2006 14:43 140.120 ocgen.log
17.01.2006 14:43 14.158 msgsocm.log
17.01.2006 14:43 277.396 FaxSetup.log
17.01.2006 14:43 90.704 msmqinst.log
07.01.2006 17:08 4.662 mozver.dat
07.01.2006 13:06 2.359.350 Firefox Wallpaper.bmp
06.01.2006 20:52 1.912.886 ACD Wallpaper.cmp
06.01.2006 20:21 1.355 imsins.BAK
06.01.2006 20:21 11.029 KB912919.log
06.01.2006 20:21 21.848 updspapi.log
02.01.2006 09:26 9.943 KB910437.log
02.01.2006 09:26 16.972 KB905915.log
06.12.2005 07:02 25.532 KB899587.log
06.12.2005 07:02 24.703 KB901017.log
06.12.2005 07:01 25.026 KB899591.log
06.12.2005 07:01 25.140 KB896424.log
06.12.2005 07:01 24.342 KB893756.log
06.12.2005 07:01 22.928 KB896423.log
06.12.2005 07:01 28.438 KB902400.log
06.12.2005 07:01 18.493 KB896688.log
06.12.2005 07:01 16.553 KB899589.log
06.12.2005 07:01 16.869 KB905414.log
06.12.2005 07:00 16.786 KB900725.log
06.12.2005 07:00 13.995 KB904706.log
06.12.2005 07:00 14.303 KB905749.log
06.12.2005 07:00 14.051 KB894391.log

Verzeichnis von C:\

25.03.2006 11:21 0 sys.txt
25.03.2006 11:20 7.542 system.txt
25.03.2006 11:20 391 systemtemp.txt
25.03.2006 11:19 100.112 system32.txt
25.03.2006 11:13 536.399.872 hiberfil.sys
25.03.2006 11:13 804.495.360 pagefile.sys
14.05.2005 15:55 0 AUTOEXEC.BAT

So,...ich hoffe es passt so!!!!

Gruß
Franz

Anhang: log.txt
Seitenanfang Seitenende
25.03.2006, 15:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Franzl_86

wunderbar ;)

C:\WINDOWS\system32\lo2.txtt --> loeschen

1.
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

3.
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2006, 20:51
...neu hier

Themenstarter

Beiträge: 6
#7 OK Sabina,

ich habe den Panda scan durchgeführt und er hat ganz schön viel gefunden. *heul*.

Wie du mit Sicherheit weißt, kann man den PC bei Pandascan sozusagen desinfiezieren lassen. Das habe ich nicht gemacht, da das 8,99 € gekostet hätte. Hätte ich das machen sollen?

Den Scanreport von Panda habe ich angehängt


Und hier der Scanreport von Hijack nochmal:


Logfile of HijackThis v1.99.1
Scan saved at 20:47:41, on 25.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116081704129
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D2544F8-CC09-45C8-8891-4D50D0BEAB51}: NameServer = 62.26.26.62,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F67419A4-D53E-48FC-89F8-3A2F4A6670A3}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{6D2544F8-CC09-45C8-8891-4D50D0BEAB51}: NameServer = 62.26.26.62,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{6D2544F8-CC09-45C8-8891-4D50D0BEAB51}: NameServer = 62.26.26.62,194.25.2.129
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\enj0l11m1.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Danke Sabina für deine Mühe...

Gruß Franz

Dieser Beitrag wurde am 25.03.2006 um 20:55 Uhr von Franzl_86 editiert.
Seitenanfang Seitenende
26.03.2006, 00:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Franzl_86

wieso "heul" ..es sieht doch wunderbar aus, nur eine Datei habe ich nicht "erwischt" ;)
siehe: Maxifiles
http://virus-protect.org/artikel/spyware/maxifiles.html

-----------------------------------------------------------------------
1.
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\enj0l11m1.dll (file missing)

PC neustarten

2.
loeschen:

C:\PROGRAMME\GEMEINSAME DATEIEN\Download

C:\Dokumente und Einstellungen\Thomas\Desktop\Virenentfernung\l2mfix\backup.zip

F:\Soba_Backup\TRA\TRA\Dialers\Hot Sex Software.EXE [?? ..loeschen ?? oder lassen...das ist hier die Frage. Bedenke es ist ein Dialer )

3.
remove Maxifiles:
http://www.virus-protect.org/artikel/bfu/zango_bfu.html

4.
Lade spysweeper (trial) , scanne und poste den scanreport
http://virus-protect.org/spysweeper.html

5.
dann scanne mit bitdefender und poste den scanreport
ScanOnline neu
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2006, 14:24
...neu hier

Themenstarter

Beiträge: 6
#9 Hallo Sabina,

ich habe bis Punkt 4 alles so gemacht wie beschrieben.

Jedoch hatte ich den Spysweeper schon einmal als Trialversion auf meinem PC und kann sie jetzt nicht mehr nutzen (Testzeitraum ist zu Ende).

Was soll ich jetzt machen????

Franz
Seitenanfang Seitenende
26.03.2006, 20:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 dann scanne mit bitdefender und poste den scanreport
ScanOnline neu
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2006, 22:45
...neu hier

Themenstarter

Beiträge: 6
#11 OK, den Scanreport habe ich angehängt...

Gruß Franz

Seitenanfang Seitenende
27.03.2006, 12:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 1.
loesche:
C:\Dokumente und Einstellungen\Thomas\Desktop\Virenentfernung\l2mfix\dlls

2.
C:\Programme\Norton AntiVirus\Quarantine --> leeren

3.
wenn das erledigt ist, scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

------------------------------------------------------------------
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

das Log von winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »