mssearchnet.exe (evt noch andere) |
||
---|---|---|
#0
| ||
30.03.2006, 02:09
...neu hier
Beiträge: 7 |
||
|
||
30.03.2006, 18:23
Ehrenmitglied
Beiträge: 29434 |
#2
jtrumpfi
ich helfe dir, das zu entfernen, es scheint SpywareQuake oder SpyAxe zu sein stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.03.2006, 19:50
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Sabina,
hab es dann heute morgen noch hingekriegt, nachdem ich die letzten drei verbliebenen Dateien in system32 (eine der sich ändernden hpFA2A.tmp, stickrep.dll und dfrgsrv.exe) mit Killbox gelöscht habe, Neustart, zur Sicherheit noch spybot SD laufen lassen (hab damit Smitfraud-C immunisiert - SpywareQuake war wohl der Übeltäter), scheint das Ding wieder einwandfrei zu laufen. Hatte mich derweil schon in die verschiedenen threads zu diesem Thema eingelesen und immer wieder erwähnte tools ausprobiert, bis es lief. TUVM Jörg __________ Gruß Jörg http://www.spearhead-home.com Dieser Beitrag wurde am 30.03.2006 um 20:16 Uhr von jtrumpfi editiert.
|
|
|
||
30.03.2006, 20:03
Ehrenmitglied
Beiträge: 29434 |
#4
solltest du mit HijackThis fixen
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpFA2A.tmp und dennoch die 4 logs posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.03.2006, 20:25
...neu hier
Themenstarter Beiträge: 7 |
#5
Ok,
hier nochmal die Log von HiJackThis: Logfile of HijackThis v1.99.1 Scan saved at 20:19:24, on 30.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Apache Group\Apache\Apache.exe C:\WINDOWS\System32\imapi.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe C:\Programme\Apache Group\Apache\Apache.exe C:\Programme\OfficeScan Client\ntrtscan.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\OfficeScan Client\tmlisten.exe C:\Programme\OfficeScan Client\ofcdog.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\carpserv.exe C:\Programme\OfficeScan Client\pccntmon.exe C:\Programme\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\EarthView\EarthView.exe D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\MMDiag.exe D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\WinTidy\WinTidy.exe D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mim.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\WINDOWS\system32\SNDVOL32.EXE D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mmjb.exe D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mm_director.exe D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\MM_TDM~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Archive\System\AntiVirus&Spyware-Tools\HijackThis.exe C:\WINDOWS\system32\userinit.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spearhead-home.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: DevelopersDex Toolbar - {E3C7D182-655D-45EE-8896-A8F8C4DA7E94} - C:\WINDOWS\System32\devdexbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TweakUI.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EasySync Pro - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [MimBoot] D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\mimboot.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: EarthView.lnk = C:\Programme\EarthView\EarthView.exe O4 - Startup: MySQL System Tray Monitor.lnk = D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe O4 - Startup: Task Manager.lnk = C:\WINDOWS\system32\taskmgr.exe O4 - Startup: Trumpfi_NetUse.lnk = D:\USERS\Trumpfheller\net_anpassTrumpfheller.bat O4 - Startup: WinTidy.lnk = C:\Programme\WinTidy\WinTidy.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: &List Stylesheets - C:\WINDOWS\Web\CSS_Stylesheets.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html O9 - Extra 'Tools' menuitem: &List Stylesheets - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html O14 - IERESET.INF: START_PAGE_URL=http://www O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {406C9427-632E-4451-BE64-53ACA5D4E377} (openbcWebControl.BaseControl) - https://www.openbc.com/sync/openbcWebControl.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120680837683 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136560192067 O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://citrix.industriehansa.de/net6helper.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in) - O16 - DPF: {D1792F99-AA90-4D46-8B73-2CE45DADDD3C} (WAFDownloader Class) - https://www.web-a-file.com/webafiledownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wob.IndustrieHansa.loc O17 - HKLM\Software\..\Telephony: DomainName = wob.industriehansa.loc O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O23 - Service: Apache Web Server - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe O23 - Service: IBM Nodelock License Server (IBM LUM NDL) - IBM - C:\ifor\WIN\BIN\i4llmd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySQL - Unknown owner - D:\MySQL\MySQL.exe (file missing) O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan Client\ntrtscan.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\OfficeScan Client\tmlisten.exe -jetzt die vier anderen: Verzeichnis von C:\ 30.03.2006 20:22 0 sys.txt 30.03.2006 20:22 14.562 system.txt 30.03.2006 20:22 655 systemtemp.txt 30.03.2006 20:21 108.706 system32.txt 30.03.2006 13:16 752.877.568 pagefile.sys 31.01.2006 16:42 530 Dokumente 25.12.2005 20:05 211 boot.ini 25.12.2005 19:51 47.564 NTDETECT.COM 25.12.2005 19:51 251.184 ntldr 06.12.2004 13:53 0 COMLOG.txt 24.06.2004 16:09 21 tmuninst.ini 07.02.2004 12:09 0 IO.SYS 07.02.2004 12:09 0 CONFIG.SYS 07.02.2004 12:09 0 AUTOEXEC.BAT 07.02.2004 12:09 0 MSDOS.SYS 29.08.2002 14:00 4.952 bootfont.bin Verzeichnis von C:\Temp 30.03.2006 20:18 16.384 ~DF96B9.tmp 30.03.2006 13:44 28 ExchangePerflog_8484fa3149a9ba3b66c913b1.dat 30.03.2006 13:40 896 WcesView.log 30.03.2006 13:27 1.015 jusched.log 30.03.2006 13:18 0 JET8A59.tmp 30.03.2006 13:17 16.384 Perflib_Perfdata_e28.dat 30.03.2006 13:17 541 WCESCOMM.LOG 30.03.2006 10:35 16.384 ~DF9605.tmp Verzeichnis von C:\WINDOWS 30.03.2006 15:25 54.156 QTFont.qfn 30.03.2006 14:23 217 hpbafd.ini 30.03.2006 13:16 3.702 ModemLog_SoftK56 Data Fax CARP.txt 30.03.2006 13:16 1.836.771 WindowsUpdate.log 30.03.2006 13:16 0 0.log 30.03.2006 13:16 2.048 bootstat.dat 30.03.2006 12:51 32.606 SchedLgU.Txt 30.03.2006 11:03 1.044 wsftppro.INI 30.03.2006 02:27 4.429 TMFilter.log 29.03.2006 00:06 12.536 mozver.dat 27.03.2006 15:24 83 webica.ini 27.03.2006 12:22 1.572.918 BGInfo.bmp 27.03.2006 10:33 647.189 setupapi.log 22.03.2006 11:52 1.409 QTFont.for 21.03.2006 12:47 183.835 setupact.log 20.03.2006 14:42 1.146 win.ini 15.03.2006 15:12 24 pccntmon.INI 12.03.2006 21:09 14.859 sess_gp7pqn1nbjnsgk4v5vt6893dj6 12.03.2006 20:00 14.859 sess_2sfdcfsa2mrj13qtpjoush00m0 12.03.2006 19:53 14.859 sess_g2astu6ikk5l656ldlcfnu02l5 09.03.2006 13:18 14.982 sess_h6v4n2mt9b95vjbvpqfs0ecc70 09.03.2006 12:51 15.187 sess_d2b1qh9pasv629f91bckdluav6 09.03.2006 12:41 15.187 sess_769ngd1fqplmq753dhspd241h7 09.03.2006 00:39 15.187 sess_kkptm1mt4lp56i181mp85ik5t7 08.03.2006 13:05 15.200 sess_d9c664u5b6fiqrlmhcuffnplr5 07.03.2006 21:04 15.191 sess_iof5ip8eii8unf3itp04nfv515 07.03.2006 19:38 15.191 sess_1vk0se6bhhjlr06ac7vjp1taj6 07.03.2006 11:49 15.200 sess_682jl1356pr6c1fvvsokl49pq6 07.03.2006 11:45 15.187 sess_9bdic0mvr9iegu4r53a86jjoq5 06.03.2006 19:01 15.200 sess_bkks81e907jdib9m8dji386074 06.03.2006 18:44 15.187 sess_07oghalvti8j5d1rkd1ecc2ag4 06.03.2006 17:50 15.191 sess_jgem1jsu5kl2eq7vj1eohljf54 06.03.2006 15:52 15.187 sess_hm939b1o64rfc4dm0ipmqrjsi6 06.03.2006 14:55 15.186 sess_vs1hr7lcb5pjabdjsn9seid084 06.03.2006 14:33 14.033 sess_arb7660qt67gohgo9c4ehjdrp3 06.03.2006 14:00 14.033 sess_0mg0q302btfpg9m6fjahffupp4 06.03.2006 13:58 14.033 sess_c7vl41kmlf35vvpsss3bu22p90 06.03.2006 13:54 14.033 sess_nlujfpbaj9j6isp8mh9vrbi3p1 06.03.2006 13:53 14.033 sess_kbuja15edhhtlt7tmk0tlir8u3 03.03.2006 19:05 324.346 comsetup.log 03.03.2006 19:05 270.969 iis6.log 03.03.2006 19:05 218.222 ntdtcsetup.log 03.03.2006 19:05 468.040 tsoc.log 03.03.2006 19:05 41.010 tabletoc.log 03.03.2006 19:05 39.769 ocmsn.log 03.03.2006 19:05 2.141 imsins.log 03.03.2006 19:05 157.454 netfxocm.log 03.03.2006 19:05 13.858 medctroc.Log 03.03.2006 19:05 591.140 ocgen.log 03.03.2006 19:05 46.518 msgsocm.log 03.03.2006 19:05 895.566 FaxSetup.log 03.03.2006 19:05 354.272 msmqinst.log 03.03.2006 19:05 5.257 imsins.BAK 03.03.2006 12:16 56.400 Ofcscan.ini 01.03.2006 23:52 6.120 KB912945Uninst.log 01.03.2006 23:52 47.360 updspapi.log 01.03.2006 11:19 1.139 ODBC.INI 01.03.2006 11:06 7.158 KB908521.log 01.03.2006 01:33 15.933 KB904942.log 01.03.2006 01:33 17.923 KB912945.log 01.03.2006 01:21 7.425 WGA.log 22.02.2006 00:13 58.932 KB893803v2.log 22.02.2006 00:11 28.829 MSI30-KB884016.log 19.02.2006 02:34 32.779 spupdsvc.log 19.02.2006 02:31 6.837 KB913446.log 19.02.2006 02:29 7.903 KB911564.log 19.02.2006 02:29 218.972 wmsetup.log 19.02.2006 02:29 10.973 KB911927.log 19.02.2006 02:28 7.620 KB911565.log 16.02.2006 13:04 9.190 my.ini 14.02.2006 21:04 50 wiaservc.log 14.02.2006 21:04 430 wiadebug.log 14.02.2006 12:11 3.930 OEWABLog.txt 02.02.2006 14:21 3.187 cfgall.ini 19.01.2006 11:32 69.632 EarthView.scr 18.01.2006 00:41 10.057 KB908519.log 06.01.2006 15:41 11.675 KB912919.log 03.01.2006 12:14 0 vpd.properties Verzeichnis von C:\WINDOWS\system32 30.03.2006 00:38 1.057.280 kernel32.dll 28.03.2006 01:11 2.206 wpa.dbl 27.03.2006 10:36 664 d3d9caps.dat 26.03.2006 22:34 491.682 perfh009.dat 26.03.2006 22:34 96.918 perfc009.dat 26.03.2006 22:34 519.548 perfh007.dat 26.03.2006 22:34 112.198 perfc007.dat 26.03.2006 22:34 1.237.288 PerfStringBackup.INI 22.03.2006 11:34 9.701 qtplugin.log 09.03.2006 17:21 4.799.320 MRT.exe 03.03.2006 13:25 22 tmsock.tmp.tag 01.03.2006 11:55 138.056 FNTCACHE.DAT 17.02.2006 12:23 6.851 DWRCSAccess.log 14.02.2006 10:20 550.120 LegitCheckControl.dll 18.01.2006 01:08 176.167 rmoc3260.dll 18.01.2006 01:08 5.632 pndx5032.dll 18.01.2006 01:08 6.656 pndx5016.dll 18.01.2006 01:08 278.528 pncrt.dll 11.01.2006 18:15 1.069.056 libmySQL.dll 04.01.2006 05:35 68.096 webclnt.dll Danke übrigens für die viele Hilfe, die hier angeboten wird. Joerg __________ Gruß Jörg http://www.spearhead-home.com |
|
|
||
31.03.2006, 00:25
Ehrenmitglied
Beiträge: 29434 |
#6
jtrumpfi
Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\kernel32.dll Bericht hier posten............... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.03.2006, 10:53
...neu hier
Themenstarter Beiträge: 7 |
#7
gesagt - getan:
Zitat This is a report processed by VirusTotal on 03/31/2006 at 10:50:57 (CET) after scanning the file "kernel32.dll" file. __________ Gruß Jörg http://www.spearhead-home.com |
|
|
||
31.03.2006, 11:10
Ehrenmitglied
Beiträge: 29434 |
#8
lade die kernel32.dll bitte hoch und schreibe mir, wenn du die Antwort bekommst:
http://sandbox.norman.no/live_4.html http://siri.urz.free.fr/upload/ die dll ist nicht koscher............... Zitat "kernel32.dll"="C:\\WINDOWS\\system32\\mssearchnet.exe"+ poste bitte das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.03.2006, 14:38
...neu hier
Themenstarter Beiträge: 7 |
#9
http://siri.urz.free.fr/upload/
bei der Adresse krieg ich Folgendes als Ergebnis angezeigt (Fr. kann ich nich). Sieht so aus, als ob die Datei zu groß ist: Zitat Erreur taille du fichier incorrecte.hier das Sandbox-Ergebnis: Zitat Norman Scanner Engine 5.90. 7Und hier das Ergebnis von SilentRunners: Zitat "Silent Runners.vbs", revision 44, http://www.silentrunners.org/By the way: OfficeScan von Trend Mico hatte bei mir noch den Troyaner TROJ_ZLOB.HS in C:\System Volume Information entdeckt und in das Quaratäne Verzeichnis gestellt. Jörg __________ Gruß Jörg http://www.spearhead-home.com Dieser Beitrag wurde am 31.03.2006 um 15:09 Uhr von jtrumpfi editiert.
|
|
|
||
31.03.2006, 15:33
Ehrenmitglied
Beiträge: 29434 |
#10
arbeite bitte Punkt 3 ab [ fixme.reg]
http://virus-protect.org/artikel/spyware/spywarequake.html dann poste bitte das log von winpfind http://virus-protect.org/winpfind.html -------------------------------------- Verzeichnis von C:\WINDOWS\system32 30.03.2006 00:38 1.057.280 kernel32.dll ist nicht koscher, (die Virenscanner erkennen die dll noch nicht... anscheinend...) aber nicht loeschen...zumal du an einem Firmenrechner sitzt... Informiere am besten den Administrator vom Problem __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.03.2006, 17:13
...neu hier
Themenstarter Beiträge: 7 |
#11
Hallo Sabina,
Zitat Sabina posteteWas verstehst Du unter Punkt 3 abarbeiten? Ich habe in der Registry nach den speziellen Schlüsseln gesucht und wenn gefunden, gelöscht. Verstehe nicht so ganz, was das [- bei den meisten Reg-Einträgen soll? Habe übrigens einen Schlüssel unter einem leicht geändertem Schlüsselnamen gefunden: Zitat So sollte es aussehen: Zitat Das wurde gefunden:Die Einträge in der zu erstellenden Reg-Datei scheinen fehlerhaft zu sein (siehe rot) oder ist das Absicht? Habe die kernel32 mit der aus C:\WINDOWS\ServicePackFiles\i386\ verglichen (FileSync - Binärer Vergleich) und keinen Unterschied festgestellt: C:\WINDOWS\system32\kernel32.dll 1,00 MB (1.057.280 Bytes) 1,01 MB (1.060.864 Bytes) Donnerstag, 29. August 2002, 14:00:00 Gestern, 30. März 2006, 00:38:18 C:\WINDOWS\ServicePackFiles\i386\kernel32.dll 1,00 MB (1.057.280 Bytes) 1,01 MB (1.060.864 Bytes) Sonntag, 25. Dezember 2005, 19:30:41 (Datum der SP2 Installation) Mittwoch, 4. August 2004, 09:57:22 Hier das Ergebnis von WinPFind: Zitat »»»»» Windows OS and Versions »»»»» __________ Gruß Jörg http://www.spearhead-home.com Dieser Beitrag wurde am 31.03.2006 um 17:18 Uhr von jtrumpfi editiert.
|
|
|
||
31.03.2006, 17:19
Moderator
Beiträge: 7805 |
#12
Hallo Jörg,
koenntest du mir die Datei (in einem Archiv mit Passwort infected) an virus@protecus.de schicken? Wir wollen nur ausschliessen, das es nicht die orginal Windowsdatei ist. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
31.03.2006, 17:45
...neu hier
Themenstarter Beiträge: 7 |
#13
Zitat raman posteteIst unterwegs. Antwort bitte an die hier angegebene E-Mail Adresse schicken, da Firmen-Server am Wochenende wahrscheinlich wieder nicht erreichbar ist. Mit WinZip gepackt und encrypted mit der WinZip 2.0 compatible Methode (was immer das bedeuten mag). __________ Gruß Jörg http://www.spearhead-home.com |
|
|
||
01.04.2006, 00:33
Ehrenmitglied
Beiträge: 29434 |
#14
danke fuer den Hinweis auf die (fehlerhafte) reg-Datei.
Was die kernel32 betrifft, hoffe ich, dass raman Licht ins Dunkel bringt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
neu hier. Habe versucht in einem anderen thread mit ähnlicher Problematik zu antworten, aber es hat sich dort nichts getan (kein Formular zum Antworten).
Also mir altem Hasen scheint es auch passiert zu sein, daß ich mir beim Installieren von codecs für den WMP noch zusätzliche Spyware installiert habe. Die Programme sind zwar deinstalliert, aber besagte exe meldet sich permanet.
Hier der Auszug aus dem Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 01:32:32, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\OfficeScan Client\pccntmon.exe
C:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\EarthView\EarthView.exe
D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe
C:\Programme\WinTidy\WinTidy.exe
D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\MMDiag.exe
D:\SpacePower SoundSystems\Tools\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Apache Group\Apache\Apache.exe
D:\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Programme\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\OfficeScan Client\tmlisten.exe
C:\Programme\OfficeScan Client\ofcdog.exe
C:\Programme\OfficeScan Client\pccntupd.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mssearchnet.exe
D:\USERS\Trumpfheller\DriveLinker\bin\DriveLinker.exe
D:\Downloads\Hijack\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www
O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpFA2A.tmp
O3 - Toolbar: DevelopersDex Toolbar - {E3C7D182-655D-45EE-8896-A8F8C4DA7E94} - C:\WINDOWS\System32\devdexbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TweakUI.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EasySync Pro - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgent.exe
O4 - HKLM\..\Run: [EasySync Pro] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MimBoot] D:\SPACEP~1\Tools\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: EarthView.lnk = C:\Programme\EarthView\EarthView.exe
O4 - Startup: MySQL System Tray Monitor.lnk = D:\MySQL\MySQL Administrator 1.1\MySQLSystemTrayMonitor.exe
O4 - Startup: Task Manager.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Startup: Trumpfi_NetUse.lnk = D:\USERS\Trumpfheller\net_anpassTrumpfheller.bat
O4 - Startup: WinTidy.lnk = C:\Programme\WinTidy\WinTidy.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &List Stylesheets - C:\WINDOWS\Web\CSS_Stylesheets.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html
O9 - Extra 'Tools' menuitem: &List Stylesheets - {ffcd98a0-9e1a-11d5-aa62-e2dcf03ff459} - C:\WINDOWS\Web\CSS_Stylesheets.html
O14 - IERESET.INF: START_PAGE_URL=http://www
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {406C9427-632E-4451-BE64-53ACA5D4E377} (openbcWebControl.BaseControl) - https://www.openbc.com/sync/openbcWebControl.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120680837683
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136560192067
O16 - DPF: {7E0FDFBB-87D4-43A1-9AD4-41F0EA8AFF7B} (Net6Launcher Class) - https://citrix.industriehansa.de/net6helper.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {D1792F99-AA90-4D46-8B73-2CE45DADDD3C} (WAFDownloader Class) - https://www.web-a-file.com/webafiledownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wob.IndustrieHansa.loc
O17 - HKLM\Software\..\Telephony: DomainName = wob.industriehansa.loc
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Apache Web Server - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe
O23 - Service: IBM Nodelock License Server (IBM LUM NDL) - IBM - C:\ifor\WIN\BIN\i4llmd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - D:\MySQL\MySQL.exe (file missing)
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan Client\ntrtscan.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\OfficeScan Client\tmlisten.exe
**************
PocketKillbox hab ich auch schon auf dem Rechner. Was brauch ich noch?
Habe mittlerweile KillBox ausgeführt. Mit der KillBox und dem Neustart scheint es wieder rein zu sein, außer daß immer noch das Fenster gelegentlich aufpoppt "You computer is infected ..."
Wie krieg ich das denn weg?
Habe ausserdem noch festgestellt, daß in der Registry noch folgender Eintrag zu finden ist:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"wininet.dll"="dfrgsrv.exe"
"nvctrl.exe"="nvctrl.exe"
"kernel32.dll"="C:\\WINDOWS\\system32\\mssearchnet.exe"
Auch nach einem RegClean (oder gibt es für XP etwas anderes?) war der Eintrag noch vorhanden.
Danke für die Hilfe Joerg
__________
Gruß Jörg
http://www.spearhead-home.com