Your Computer is infected!

#0
25.03.2006, 01:53
...neu hier

Beiträge: 8
#1 moin

also ich habe unten rechts neben der uhr einen rotenkreis mit einem weißen X drin... Your computer is infected...!


hier das HJ-log...;) und nu?

Logfile of HijackThis v1.99.1
Scan saved at 01:47:25, on 25.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\emMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0_03\bin\jucheck.exe
C:\winstall.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MPPEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] D:\Spiele\hl2\\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: MA111 Configuration Utility.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://billing.goa.com/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30939558-44C2-4DB8-8866-F6D23F5AD6C1}: NameServer = 145.253.2.11,145.253.2.75
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: prxsvc - {725A9115-9EBB-42D6-BFC0-B1579CF4184F} - prxsvc.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\system32\msdndr.pif


danke ;)
mfg
Dieser Beitrag wurde am 25.03.2006 um 09:28 Uhr von tschubbi editiert.
Seitenanfang Seitenende
25.03.2006, 12:26
Member

Beiträge: 686
#2 Sieht so aus, als hättest du den SPY SHERIFF drauf oder SPYBOT-CY.
Mach mal erst eine automatische Auswertung deines Log bei
www.hijackthis.de
Fixe dann die beiden als böse bezeichneten roten Einträge "winstall.exe".
Schau dir die gelben Warnungen an, ob du die Programme kennst.
Neustart.
Wenn das Problem wieder auftaucht: Wende dich im Bereich Viren an die Experten.

Gruß Reinhart
Seitenanfang Seitenende
26.03.2006, 23:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 tschubbi

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2006, 19:43
...neu hier

Themenstarter

Beiträge: 8
#4 Verzeichnis von C:\WINDOWS\system32

28.02.2006 22:53 146.650 BuzzingBee.wav
28.02.2006 22:53 940.794 LoopyMusic.wav
28.02.2006 21:45 2.270 nmp.log
28.02.2006 21:44 100 _nvidia_xxx_.log
28.02.2006 21:23 399 app_filter_ui.log
28.02.2006 21:13 261 $winnt$.inf
28.02.2006 21:09 2.951 CONFIG.NT
28.02.2006 21:09 16.832 amcompat.tlb
28.02.2006 21:09 23.392 nscompat.tlb
28.02.2006 21:08 488 logonui.exe.manifest
28.02.2006 21:08 488 WindowsLogon.manifest
28.02.2006 21:08 749 nwc.cpl.manifest
28.02.2006 21:08 749 cdplayer.exe.manifest
28.02.2006 21:08 749 ncpa.cpl.manifest
28.02.2006 21:08 749 wuaucpl.cpl.manifest
28.02.2006 21:08 749 sapi.cpl.manifest
28.02.2006 21:06 21.740 emptyregdb.dat
28.02.2006 04:50 0 h323log.txt
23.02.2006 11:22 348.160 msvcr71.dll
23.02.2006 11:22 1.047.552 mfc71u.dll
23.02.2006 11:22 57.344 avsda.dll
26.01.2006 20:36 716.800 divxdec.ax
26.01.2006 20:36 574.976 DivX.dll
26.01.2006 20:35 679.936 divx_xx07.dll
26.01.2006 20:35 679.936 divx_xx0c.dll
26.01.2006 20:35 663.552 divx_xx11.dll
24.01.2006 20:34 118.784 sirenacm.dll
24.01.2006 20:08 12.288 DivXWMPExtType.dll
09.01.2006 21:32 86.016 dpl100.dll
09.01.2006 21:32 593.920 dpuGUI11.dll
09.01.2006 21:32 200.704 dtu100.dll
09.01.2006 21:32 339.968 dpus11.dll
09.01.2006 21:32 57.344 dpv11.dll
09.01.2006 21:32 294.912 dpu11.dll
09.01.2006 21:32 294.912 dpu10.dll
05.12.2005 22:51 10.716 dsm_ja.qm
05.12.2005 22:51 15.331 dsm_de.qm
05.12.2005 22:51 15.172 dsm_fr.qm
05.12.2005 07:12 28.672 vxblock.dll
05.12.2005 07:12 56.832 pxcpya64.exe
23.11.2005 06:00 778.240 DivXsm.exe
23.11.2005 06:00 4.276 divxsm.tlb
17.11.2005 18:19 421.888 pxdrv.dll
17.11.2005 18:19 108.544 pxcpyi64.exe
17.11.2005 18:19 109.568 pxinsi64.exe
17.11.2005 18:19 172.032 pxmas.dll
17.11.2005 18:19 372.736 px.dll
17.11.2005 18:19 61.440 pxhpinst.exe
17.11.2005 18:19 56.320 pxinsa64.exe
17.11.2005 18:19 339.968 pxwave.dll

Verzeichnis von C:\DOKUME~1\MPPEL~1\LOKALE~1\Temp

27.03.2005 20:38 240 datFind.zip
27.03.2005 20:36 16.384 ~DFCCE9.tmp
27.03.2005 20:36 512 ~DFB167.tmp
27.03.2005 20:36 16.384 ~DFAD58.tmp
27.03.2005 20:36 206 jusched.log
27.03.2005 19:08 16.384 ~DFD6C6.tmp
27.03.2005 19:08 16.384 ~DFF5B7.tmp
7 Datei(en) 66.494 Bytes
0 Verzeichnis(se), 1.042.157.568 Bytes frei


Verzeichnis von C:\WINDOWS

28.02.2006 22:30 169 RtlRack.ini
28.02.2006 21:45 109 nmp.log
28.02.2006 21:45 0 _nvidia_xxx_.log
28.02.2006 21:24 1.454 COM+.log
28.02.2006 21:15 829 OEWABLog.txt
28.02.2006 21:15 769.197 setuplog.txt
28.02.2006 21:14 8.192 REGLOCS.OLD
28.02.2006 21:13 4.382 imsins.BAK
28.02.2006 21:09 0 control.ini
28.02.2006 21:09 4.161 ODBCINST.INI
28.02.2006 21:08 749 WindowsShell.Manifest
28.02.2006 21:07 1.023 sessmgr.setup.log
28.02.2006 21:06 37 vbaddin.ini
28.02.2006 21:06 36 vb.ini
28.02.2006 21:04 200 cmsetacl.log
28.02.2006 04:22 0 Sti_Trace.log
28.02.2006 04:19 1.348 regopt.log
28.02.2006 04:19 231 system.ini
28.02.2006 04:17 0 setuperr.log
17.08.2005 12:39 90.112 SOUNDMAN.EXE
27.03.2005 20:36 243.772 WindowsUpdate.log

Verzeichnis von C:\

28.02.2006 21:09 0 IO.SYS
28.02.2006 21:09 0 MSDOS.SYS
28.02.2006 21:09 0 CONFIG.SYS
28.02.2006 21:09 0 AUTOEXEC.BAT
28.02.2006 21:04 211 boot.ini
27.03.2005 20:42 0 sys.txt
27.03.2005 20:41 4.968 system.txt
27.03.2005 20:40 588 systemtemp.txt
27.03.2005 20:38 95.235 system32.txt
27.03.2005 19:07 1.610.612.736 pagefile.sys
05.08.2004 14:00 4.952 bootfont.bin
05.08.2004 14:00 47.564 NTDETECT.COM
05.08.2004 14:00 251.184 ntldr
13 Datei(en) 1.611.017.438 Bytes
0 Verzeichnis(se), 1.042.141.184 Bytes frei
Seitenanfang Seitenende
28.03.2006, 01:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 tschubbi

1.
Click Start>> Ausfuehren>> schreibe rein--> Services.msc und Click OK!

"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"
MSDN Driver (msdndr)

2.
Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete 32bit MSDN Driver

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

MSDN Driver


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

msdndr.pif

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

4.
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\msdndr*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\prxsvc*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\winstall*.*" > c:\find.txt & start notepad c:\find.txt



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2006, 15:21
...neu hier

Themenstarter

Beiträge: 8
#6

Zitat

1.
Click Start>> Ausfuehren>> schreibe rein--> Services.msc und Click OK!

"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"
MSDN Driver (msdndr)
welches von den diensten soll ich denn markieren?bzw das oben geschriebene durchführen?
Seitenanfang Seitenende
28.03.2006, 15:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 MSDN Driver (msdndr) ...diesen Dienst musst du deaktivieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2006, 18:34
...neu hier

Themenstarter

Beiträge: 8
#8 den find ich nich in der liste ;)
Seitenanfang Seitenende
28.03.2006, 20:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 na gut, dann mache mit den anderen Punkten weiter ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2006, 14:18
...neu hier

Themenstarter

Beiträge: 8
#10 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 03.04.2005 14:11:46 for strings:
; 'msdn driver'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDNDR\0000]
"DeviceDesc"="MSDN Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr]
"DisplayName"="MSDN Driver"
"Description"="MSDN Driver Detect"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDNDR\0000]
"DeviceDesc"="MSDN Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr]
"DisplayName"="MSDN Driver"
"Description"="MSDN Driver Detect"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDNDR\0000]
"DeviceDesc"="MSDN Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr]
"DisplayName"="MSDN Driver"
"Description"="MSDN Driver Detect"

[HKEY_USERS\S-1-5-21-515967899-1482476501-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"a"="sc delete 32bit MSDN Driver\\1"

; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 03.04.2005 14:13:26 for strings:
; 'msdndr.pif'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr]
; Contents of value:
; C:\WINDOWS\system32\msdndr.pif
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
6d,73,64,6e,64,72,2e,70,69,66,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr]
; Contents of value:
; C:\WINDOWS\system32\msdndr.pif
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
6d,73,64,6e,64,72,2e,70,69,66,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr]
; Contents of value:
; C:\WINDOWS\system32\msdndr.pif
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
6d,73,64,6e,64,72,2e,70,69,66,00

; End Of The Log...
Seitenanfang Seitenende
03.04.2006, 16:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint



dir /s /a "c:\msdndr*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\prxsvc*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\winstall*.*" > c:\find.txt & start notepad c:\find.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 20:42
...neu hier

Themenstarter

Beiträge: 8
#12 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0E6-CE94



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0E6-CE94

Verzeichnis von c:\WINDOWS\Prefetch

28.03.2005 16:18 53.566 PRXSVC.EXE-1827484E.pf
1 Datei(en) 53.566 Bytes

Verzeichnis von c:\WINDOWS\system32

05.08.2004 14:00 61.440 prxsvc.exe
1 Datei(en) 61.440 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 115.006 Bytes
0 Verzeichnis(se), 767.815.680 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0E6-CE94
Seitenanfang Seitenende
05.04.2006, 01:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 tschubbi

msdndr.pif -> Information
http://virus-protect.org/artikel/dienste/prxsvc.html

1.
da ein Rootkit auf dem PC ist, brauche ich noch folgeñdes Log: (ich muss die sys vom Haxdoor finden.....)
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

---------------------------------------------------------------------------
2.

Zitat

Lade die haxfix.exe http://users.telenet.be/marcvn/tools/haxfix.exe runter. Speichere sie auf deinem Desktop.

Schliesse alle anderen Programme und schliesse alle offenen Fensterchen.

Mach einen Doppelklick auf die haxfix.exe um die Installation zu starten. (normalerweise verwendet man den Ordner C:\Programme\haxfix)

Wenn die Installation beendet ist, sorge dafür, dass ein Häkchen bei "Launch HaxFix" gesetzt ist.

Nun öffnet sich ein rotes Dos Fensterchen.

Wenn der Bericht kommt (er kommt zweimal):
Insert the haxdoor notify subkey without the numbers, and then press enter:
tippst du folgendes ein:

prxsvc

Drücke auf Enter.

Nun wird der Rechner gescannt, ob bestimmte Dienste installiert sind, die für diese Infektion ausschlaggebend sind. Wenn nichts gefunden wird, bekommst du die Meldung: No infection found. Dann hört das Programm auf zu laufen.

Werden aber doch Dienste gefunden, auch wenn es nur ein einziger ist, wirst du gebeten alle Fensterchen zu schliessen, denn der Rechner wird nun neu aufstarten. Schliesse also alle geöffneten Fensterchen, ausser dem roten Dos Fensterchen vom Haxfix. Das muss auf bleiben. Drücke dann wieder auf enter. Der Rechner wird nun wieder neu aufstarten.

Wenn der Rechner wieder hochgefahren ist, suchst du die Datei c:\haxfix.txt Diese Datei ist das Logfile vom HaxFix und gibt an, was gefunden und gelöscht worden ist, in Bezug auf diese Infektion.
3.
Start -- Ausführen -- regedit (reinschreiben)

bearbeiten - suchen - MSDNDR

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDNDR\0000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDNDR\0000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDNDR\0000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr


4.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

C:\winstall.exe
c:\WINDOWS\Prefetch\PRXSVC.EXE-1827484E.pf
c:\WINDOWS\system32\prxsvc.exe
C:\WINDOWS\system32\prxsvc.dll
C:\WINDOWS\system32\dofcpr.dll
C:\WINDOWS\nmp.log
C:\WINDOWS\system32\msdndr.pif

PC neustarten

5.
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

-------------------------------------------------------------------------

6.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O21 - SSODL: prxsvc - {725A9115-9EBB-42D6-BFC0-B1579CF4184F} - prxsvc.dll (file missing)
O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\system32\msdndr.pif

PC neustarten


7.
arbeite smitfraud genau nach Anweisung ab ..ich wuerde mich dann fuer den Scanreport interessieren (also die smitfraud.txt hier posten)
http://virus-protect.org/artikel/tools/smitfrautfix.html

8.
dann scanne Online mit Kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2006, 16:18
...neu hier

Themenstarter

Beiträge: 8
#14 1:HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BEHAVIORS\* 28.02.2006 21:09 4 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_MK_PROTOCOL\* 28.02.2006 21:09 4 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.exe 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.exe 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.bat 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.bat 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.cmd 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.cmd 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.com 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.com 28.02.2006 21:08 2 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\** 04.04.2005 19:13 50 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\*** 04.04.2005 19:13 60 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\* 04.04.2005 19:13 38 bytes Hidden from Windows API.
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP36\A0005465.sys 31.03.2005 07:22 3.26 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP37\A0005531.sys 31.03.2005 13:37 3.26 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP39\A0006555.sys 02.04.2005 11:30 3.26 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP40\A0006608.sys 03.04.2005 13:36 3.26 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006888.sys 05.04.2005 07:51 3.26 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\msdndr.dat 24.03.2005 14:49 8 bytes Hidden from Windows API.
C:\WINDOWS\system32\msdndr.pif 24.03.2005 14:49 47.08 KB Hidden from Windows API.
C:\WINDOWS\system32\msdndr.sys 05.04.2005 14:24 3.26 KB Hidden from Windows API.



2:No matching services found.
haxdoorkey has not been added


3:
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m”ppel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{B427BFD7-8087-447e-8FC4-EFDFE6534FF1}"="Automation Object"

[HKEY_CLASSES_ROOT\CLSID\{B427BFD7-8087-447e-8FC4-EFDFE6534FF1}\InProcServer32]
@="C:\WINDOWS\system32\gbbe.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{B427BFD7-8087-447e-8FC4-EFDFE6534FF1}\InProcServer32]
@="C:\WINDOWS\system32\gbbe.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Im abgesicherten modus:
SmitFraudFix v2.28

Scan done at 15:44:11,89, 05.04.2005
Run from D:\Programme\smitfraud\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» End


4:-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, April 05, 2005 4:16:07 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 5/04/2006
Kaspersky Anti-Virus database records: 175131
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 50091
Number of viruses found: 4
Number of infected objects: 8
Number of suspicious objects: 0
Duration of the scan process: 00:20:46

Infected Object Name / Virus Name / Last Action
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP31\A0004919.exe Infected: not-virus:Hoax.Win32.Renos.ca skipped
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006904.exe Infected: Backdoor.Win32.Agent.tx skipped
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006905.dll Infected: Backdoor.Win32.Agent.tx skipped
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006906.pif Infected: Backdoor.Win32.HacDef.eq skipped
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006914.dll Infected: Backdoor.Win32.Agent.tx skipped
C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006917.exe Infected: Backdoor.Win32.Agent.tx skipped
C:\WINDOWS\system32\scmt16.exe Infected: Trojan-Downloader.Win32.Small.ckj skipped
C:\WINDOWS\t2.exe Infected: not-virus:Hoax.Win32.Renos.ca skipped

Scan process completed.
Seitenanfang Seitenende
05.04.2006, 22:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
loesche mit der Killbox

C:\WINDOWS\system32\msdndr.dat
C:\WINDOWS\system32\msdndr.pif
C:\WINDOWS\system32\msdndr.sys
C:\WINDOWS\system32\scmt16.exe
C:\WINDOWS\t2.exe

neustarten

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

msdndr

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: