Home » Spyware & Browser Hijacker Support Forum » Pop Up Fenster haben die Gewalt über mein Rechner » Themenansicht

Pop Up Fenster haben die Gewalt über mein Rechner
#0
05.04.2006, 08:59
nicihh79
...neu hier

Beiträge: 6
#1 Wer kann mir helfen?

Anbei sende ich euch den Report von Hijack

Logfile of HijackThis v1.97.7
Scan saved at 21:39:57, on 04.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programme\a-squared\a2guard.exe
C:\Dokumente und Einstellungen\Bunny\Desktop\Verknüpfungen\emule.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.yahoo.com/search/preferences?vl=lang_{SUB_RFC1766}&pref_done=http%3A%2F%2Fsearch.yahoo.com%2Fsearch%2Fpreferences%3Fp%3D
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: eZshopper (HKLM)
O9 - Extra 'Tools' menuitem: e-zshopper (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{770B82DE-4D51-4065-9561-25B73B4451AB}: NameServer = 192.168.1.1

Ich bedanke mich jetzt schon mal für eure Hilfe !!!

Gruß
Nici
Seitenanfang Seitenende
05.04.2006, 11:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 nicihh79

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
und bitte ein aktuelles HijackThis: (deine Version ist veraltet)
Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2006, 12:31
nicihh79
...neu hier

Themenstarter

Beiträge: 6
#3 Danke für Deine Antwort, nur leider habe ich jetzt folgendes Problem (das andere ist auch noch da :-) )

Bei datFind öffnet sich nur der Editor für das erste Log. Die Daten sind wie folgt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78EF-3F59

Verzeichnis von C:\WINDOWS\system32

05.04.2006 12:07 234.914 guard.tmp
05.04.2006 12:06 234.914 umrvpa.dll
05.04.2006 09:27 236.275 irjql5151.dll
04.04.2006 21:37 234.914 o684lglq16qe.dll
04.04.2006 15:33 2.206 wpa.dbl
01.04.2006 21:56 607.411 kspydoc.log
01.04.2006 11:15 233.459 mqrdim.dll
01.04.2006 11:14 0 Sweeper.cfg
28.03.2006 16:14 39.992 perfc009.dat
28.03.2006 16:14 316.594 perfh007.dat
28.03.2006 16:14 311.604 perfh009.dat
28.03.2006 16:14 48.156 perfc007.dat
28.03.2006 16:14 723.744 PerfStringBackup.INI
07.03.2006 15:16 234.397 jt2o07f3e.dll
27.02.2006 16:26 234.397 ddskperf.dll
25.02.2006 11:39 33.540 CoreFLACDecoder-uninstall.exe
03.02.2006 21:59 1.060.616 FNTCACHE.DAT
03.01.2006 11:17 7.006 jupdate-1.5.0_06-b05.log

Der Editor für:

2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

öffnet sich nicht, kann da also keine Daten liefern.

Die neuen Daten von Hijack sind:

Logfile of HijackThis v1.99.1
Scan saved at 12:30:12, on 05.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Bunny\Desktop\Inst\Installer (NEW)\Anti Virus\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.yahoo.com/search/preferences?vl=lang_{SUB_RFC1766}&pref_done=http%3A%2F%2Fsearch.yahoo.com%2Fsearch%2Fpreferences%3Fp%3D
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: eZshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing)
O9 - Extra 'Tools' menuitem: e-zshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{770B82DE-4D51-4065-9561-25B73B4451AB}: NameServer = 192.168.1.1
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\o684lglq16qe.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivir\AVWUPSRV.EXE
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - (no file)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Schnief, bin echt am Verzweifeln.

Gruß
Nici
Seitenanfang Seitenende
05.04.2006, 14:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 nicihh79

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..........

C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\umrvpa.dll
C:\WINDOWS\system32\irjql5151.dll
C:\WINDOWS\system32\o684lglq16qe.dll
C:\WINDOWS\system32\kspydoc.log
C:\WINDOWS\system32\mqrdim.dll
C:\WINDOWS\system32\Sweeper.cfg
C:\WINDOWS\system32\jt2o07f3e.dll
C:\WINDOWS\system32\ddskperf.dll

pc neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

l2mfix - Option 2 - PC neustarten - scan abwarten
http://virus-protect.org/l2mfix.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R3 - Default URLSearchHook is missing

O9 - Extra button: eZshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing)
O9 - Extra 'Tools' menuitem: e-zshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\o684lglq16qe.dll
O23 - Service: StyleXPService - Unknown owner - (no file)

PC neustarten

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
+
versuche noch einmal die restlichen drei Logs von datfindbat zu posten, denn unter c:\windows und c:\ gibt es noch viren, die ich dir nicht zum loeschen geben konnte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2006, 16:03
nicihh79
...neu hier

Themenstarter

Beiträge: 6
#5 Jetzt kommt der Report des Jahunderts (ich glaube so ne lange Liste hat noch niemand hier geposted).

Da ich mit meinem Rechner jetzt nicht mehr ins Internet komme, schreibe ich Dir vom Rechner meines Mannes.

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:54:07, 05.04.2006
+ Report-Checksumme: B6586363

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{1ADBCCE8-CF84-441E-9B38-AFC7A19C06A4} -> Adware.ActivShopper : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{3D782BB3-F2A5-11D3-BF4C-000000000000} -> Adware.ActivShopper : Gesäubert mit Backup
HKU\S-1-5-21-515967899-1844237615-839522115-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\{944864A5-3916-46E2-96A9-A2E84F3F1208} -> Adware.Accoona : Gesäubert mit Backup
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Stauri FAQtaur 2.0\run.exe -> Downloader.Adload.j : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Bunny\Anwendungsdaten\Mozilla\Firefox\Profiles\mjwqbgab.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und
:mozilla.974:C:\Dokumente und Einstellungen\Bunny\Anwendungsdaten\Mozilla\Firefox\Profiles\mjwqbgab.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\cphv1mww.exe/run.exe -> Downloader.Harnig.bb : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\f4tm12gd.exe/run.exe -> Downloader.Small.ckj : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\nlrspd32.exe/run.exe -> Downloader.Harnig.bb : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\run.exe -> Downloader.Small.ckj : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Bunny\order_sXiO.exe -> Logger.Banker.asv : Gesäubert mit Backup
C:\drsmartload1.exe -> Downloader.Adload.j : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll -> Logger.Small.eu : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll -> Logger.Small.eu : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc3.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc4.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc5.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc6.tmp -> Adware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\myupdates.exe -> Downloader.Adload.l : Gesäubert mit Backup
C:\WINDOWS\system32\hlwin.dll -> Adware.Suggestor : Gesäubert mit Backup
C:\WINDOWS\winsysban5.exe -> Hijacker.VB.kc : Gesäubert mit Backup
C:\WINDOWS\winsysupd3.exe -> Hijacker.StartPage.ahg : Gesäubert mit Backup
C:\WINDOWS\winsysupd5.exe -> Hijacker.StartPage.ahg : Gesäubert mit Backup
C:\winsysban5.exe -> Hijacker.VB.kc : Gesäubert mit Backup


::Report Ende


2. LOG:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78EF-3F59

Verzeichnis von C:\DOKUME~1\Bunny\LOKALE~1\Temp

05.04.2006 15:09 16.384 ~DF10C4.tmp
05.04.2006 14:49 16.384 ~DF626.tmp
05.04.2006 14:07 21.656 AAX1E.tmp
05.04.2006 12:32 588.288 kennedy.pps
4 Datei(en) 642.712 Bytes
0 Verzeichnis(se), 19.948.212.224 Bytes frei

3. LOG:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78EF-3F59

Verzeichnis von C:\WINDOWS

05.04.2006 15:17 27 BRPP2KA.INI
05.04.2006 15:17 425 BRWMARK.INI
05.04.2006 15:13 0 0.log
05.04.2006 15:12 1.907.215 WindowsUpdate.log
05.04.2006 15:12 2.048 bootstat.dat
05.04.2006 15:11 18.752 SchedLgU.Txt
04.04.2006 18:43 673.153 setupapi.log
04.04.2006 15:35 54.156 QTFont.qfn
24.03.2006 15:52 306 gttb64.ini
13.03.2006 17:22 88.986 wmsetup.log
11.03.2006 15:50 749 win.ini
08.03.2006 18:37 96.070 3D.jpg
08.03.2006 18:31 192.193 Def Jam.jpg
28.02.2006 17:39 10.752 Thumbs.db
27.02.2006 16:24 0 hosts
27.02.2006 16:24 0 tool5.exe
27.02.2006 16:24 0 tool4.exe
27.02.2006 16:24 0 tool3.exe
27.02.2006 16:23 0 tool1.exe
27.02.2006 16:23 0 secure32.html
27.02.2006 16:23 0 country.exe
27.02.2006 16:23 0 tool2.exe
24.02.2006 22:03 159 wiadebug.log
24.02.2006 22:03 50 wiaservc.log
07.02.2006 20:04 0 winsysupd51.dat
04.02.2006 17:48 99.970 UninstallFirefox.exe
04.02.2006 17:48 4.527 mozver.dat
03.02.2006 22:03 0 winsysupd31.dat
03.02.2006 22:03 38 myupdates.dat
03.02.2006 22:02 0 gimmygames1.dat
02.02.2006 19:47 0 uniq
27.01.2006 19:00 0 myupdates1.dat
27.01.2006 18:59 43 drsmartload2.dat
13.01.2006 18:56 101 CMMIXER.INI
27.12.2005 22:09 75.030 DirectX.log
27.11.2005 01:08 1.409 QTFont.for
26.11.2005 11:16 39.322 xmas16.jpg
25.11.2005 21:35 720.896 iun6002.exe
05.11.2005 16:15 107.901 upstreet.jpg
05.11.2005 16:09 77.376 palmrow.jpg
04.11.2005 17:08 36.864 uinst001.exe
01.11.2005 16:51 98.917 places1.jpg
01.11.2005 16:50 107.174 xmas2.jpg
01.11.2005 16:48 106.401 beach 4.jpg
01.11.2005 16:48 49.772 beach 2.jpg
01.11.2005 16:39 89.490 diamond.jpg
25.10.2005 23:19 11.718 ModemLog_Motorola USB Modem.txt
20.10.2005 11:32 376 ODBC.INI
19.10.2005 07:11 259 rlw32.ini
13.10.2005 17:17 27.455 azureus.jpg
09.10.2005 02:58 5.186 KB899587.log


4. LOG:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78EF-3F59

Verzeichnis von C:\

05.04.2006 15:57 0 sys.txt
05.04.2006 15:56 8.865 system.txt
05.04.2006 15:56 436 systemtemp.txt
05.04.2006 15:56 96.952 system32.txt
05.04.2006 15:12 536.399.872 hiberfil.sys
05.04.2006 15:11 402.653.184 pagefile.sys
05.04.2006 15:07 53 direct.txt
24.03.2006 15:52 13.030 PDOXUSRS.NET
28.02.2006 17:37 45 TEST.XML
26.11.2005 18:32 0 BHO.log
25.10.2005 23:09 0 DBS.TXT
14.07.2005 16:29 16.245 ResponseText.log
14.07.2005 16:29 17.001 ResponseXML.log
14.07.2005 16:29 1.281 Request.log
05.07.2005 18:49 0 CONFIG.SYS
05.07.2005 18:49 0 MSDOS.SYS
05.07.2005 18:49 0 IO.SYS
05.07.2005 18:49 0 AUTOEXEC.BAT
05.07.2005 18:41 194 BOOT.BKK
05.07.2005 18:41 194 boot.ini
12.04.2004 17:17 77.824 NetAgent.dll
29.08.2002 01:05 235.296 ntldr
28.08.2002 21:08 47.580 NTDETECT.COM
18.08.2001 21:00 4.952 bootfont.bin
24 Datei(en) 939.573.004 Bytes
0 Verzeichnis(se), 19.948.208.128 Bytes frei

Ich hoffe das wird keine Jahresaufgabe für Dich.

Vielen Dank nochmal. Da ich nicht mehr ins Internet komme, nerve mich mich Pop Ups auch nicht mehr, grins.

Gruß
Nici
Seitenanfang Seitenende
05.04.2006, 22:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 loesche mit der Killbox:

C:\WINDOWS\hosts
C:\WINDOWS\tool5.exe
C:\WINDOWS\tool4.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\tool1.exe
C:\WINDOWS\secure32.html
C:\WINDOWS\country.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\winsysupd51.dat
C:\DOKUME~1\Bunny\LOKALE~1\Temp\kennedy.pps
C:\WINDOWS\winsysupd31.dat
C:\WINDOWS\myupdates.dat
C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\uniq
C:\WINDOWS\myupdates1.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\gttb64.ini

bringe smitfraud.fix auf deinen Rechner und wende es an
http://virus-protect.org/artikel/tools/smitfrautfix.html

dann brauche ich das log vom silentrunner !
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2006, 18:26
nicihh79
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo Sabina

Ich habe die Programme angewendet. Das Log von silentrunner ist:

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"STYLEXP" = "C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide" [empty string]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKCU...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Bunny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{3EA5C408-2437-4C40-ADAC-DFDA9AEEEA96}\(Default) = (no title provided)
-> {HKLM...CLSID} = "e-zshopper SideBar"
\InProcServer32\(Default) = "SHDOCVW.DLL" [MS]
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\Antivir\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
WinFast(R) Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 299 seconds, including 9 seconds for message boxes)


Ich komme aber nicht mehr ins Internet seit ich die Sachen über meinen
Rechner laufen hatte. Woran kann das jetzt liegen?

Gruß
Nici
Seitenanfang Seitenende
07.04.2006, 00:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 du kommst nicht mehr ins Net ? Wie postest du all die Logs ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2006, 08:29
nicihh79
...neu hier

Themenstarter

Beiträge: 6
#9 Über den Rechner meines Mannes. Komischerweise komme ich noch ins Netzwerk und so ziehe ich die Sachen auf den Pc meines Mannes und schaufel die Programme dann auf meinen Rechner. Die Logs kopiere ich
dann und sende sie zurück an den Rechner meines Mannes um sie dann
hier ins Forum zu stellen. Ist wahnsinnig kompliziert, geht aber relativ gut.

Wie gesagt, zuerst kam ich ins Netz und konnte euch die Sachen von
meinem Rechner aus posten, nur jetzt geht das irgendwie nicht mehr.

Wir haben ne Flat und ne Brücke im Netzwerk. Ich kann nur noch auf das
Netzwerk zugreifen, Internetseiten werden nicht mehr angezeigt ("Seite konnte nicht gefunden werden").

Gruß
Nici
Seitenanfang Seitenende
07.04.2006, 11:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Variante 1: formatieren
Variante 2: eine Systemwiederherstellung machen (so weit wie moeglich im Datum zurueck + HijackThis und die logs von datfind posten und alles noch mal von vorn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 11:00
nicihh79
...neu hier

Themenstarter

Beiträge: 6
#11 Liebe Sabina,

ich wollte mich für euren super Service bedanken. Mein Rechner läuft wieder einwandfrei, ohne Pop Ups und sogar etwas schneller. Die Sache mit dem Internet war eigentlich simble. Mein Rechner hatte eine falsche IP-Adresse bezogen. Ich hatte das geändert und kann auch wieder surfen.

Ihr seit echt spitze.

Danke nochmal.

Gruß
Nici
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1