wird immer dieses Virus Alert unten rechts angezeigt.

#1

Zitat

Hey! Wäre nett wenn du mir helfen könntest..mir wird immer dieses Virus Alert unten rechts angezeigt...Meine Log ist:

Logfile of HijackThis v1.99.1
Scan saved at 19:36:34, on 04.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\SMSC\SetIcon.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\HomePC\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SetIcon] \Program Files\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Internet dead readme this] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Moredumbinternetdead\CAKE PROGRAM.exe
O4 - HKCU\..\Run: [Bias mode] C:\DOKUME~1\HomePC\ANWEND~1\JUMPMA~1\BendDefaultSafe.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WlanUtility.lnk = C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {3FD261A4-796F-4A71-91C1-705EFF6B8B29} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134842576125
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

__________
MfG Sabina

rund um die PC-Sicherheit

#2 Daniel_T

per PM gibt es keine Reinigungs-Tipps..........

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

habe auch das schöne gelbe dreieck unten rechts. Muß am 22.11. passiert sein.
bei combofix kam das heraus.
Kannst Du mir helfen
Gruß Marque

sett - Do 23.11.2006 11:52:00,14 Service Pack 4
ComboFix 06.11.22 - Running from: "E:\ac"

((((((((((((((((((((((((((((((( Files Created from 2006-10-23 to 2006-11-23 ))))))))))))))))))))))))))))))))))


2006-11-22 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\sett\Anwendungsdaten\Lavasoft
2006-11-22 12:35 <DIR> d-------- C:\Programme\Perfect Codec
2006-11-22 11:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-22 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\sett\Anwendungsdaten\Adobe
2006-11-22 11:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe

edit (Sabina)

#4 marque

poste das komplette log von combofix, wenn es nicht in den thread passt, poste es per anhang (siehe unten)
+
poste das log vom hijackThis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

hier das log von combofix als Textdatei und HijackThis

Danke
Gruß Marque
Logfile of HijackThis v1.99.1
Scan saved at 14:13:22, on 23.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Perfect Codec\isamonitor.exe
C:\Programme\Perfect Codec\pmsngr.exe
C:\Programme\Perfect Codec\isamini.exe
C:\Programme\Perfect Codec\pmmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Idoswin Pro\IdoswinPro.exe
E:\ac\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Programme\Perfect Codec\isaddon.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162307126937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164283346875
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O21 - SSODL: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - C:\WINNT\system32\dcvwaah.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

#6 marque

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|gimmicks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Perfect Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Perfect Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf1ced2c-4b3f-4079-a330-864eda5a4cff}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74a49269-9779-48b4-a0e6-3a5af2a3ade6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKLM\SOFTWARE\Classes\CLSID\{ab340860-fd81-4a65-b345-82eb77a66b5e}
HKLM\SOFTWARE\Classes\CLSID\{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKLM\SOFTWARE\Classes\CLSID\{4fc003c3-87a0-489c-85cd-878246eb2d18}
HKLM\SOFTWARE\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}
HKLM\SOFTWARE\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7F78A644-C4A7-4F71-BA4E-5323AA95E7D5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}

Files to delete:
C:\WINNT\system32\dcvwaah.dll

Folders to delete:
C:\Programme\Perfect Codec
C:\Programme\Virus-Bursters
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,

habe irgendwie das selbe Problem! es blinkt

HELP, Please!

Problem: hab nicht so viel Ahnung von Computern und mein Bruder weiß auch nicht weiter. CleanUp! gemacht! ComboFix gemacht! Symantec gemacht! Blinkt immer noch! was tun ich soll?

Danke


jan - Do 23.11.2006 14:44:16,14 Service Pack 4
ComboFix 06.11.22 - Running from: "C:\Dokumente und Einstellungen\jan\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-23 to 2006-11-23 ))))))))))))))))))))))))))))))))))


2006-11-23 14:39 <DIR> d-------- C:\Programme\Skype
2006-11-23 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Skype
2006-11-23 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Lavasoft
2006-11-23 14:25 <DIR> d-------- C:\Programme\Lavasoft
2006-11-23 14:05 499,712 --a------ C:\WINNT\system32\msvcp71.dll
2006-11-23 14:05 28,672 --a------ C:\WINNT\system32\wshcon.dll
2006-11-23 13:39 77,824 --a------ C:\WINNT\system32\dcvwaah.dll
2006-11-23 13:39 <DIR> d-------- C:\Programme\Virus-Bursters
2006-11-23 13:39 <DIR> d-------- C:\Programme\Gold Codec
2006-10-27 14:41 <DIR> d-------- C:\WINNT\Personal


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-23 14:36 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-23 13:47 -------- d-------- C:\Programme\IKEA Home Planner Kitchen
2006-11-23 09:56 -------- d-------- C:\Dokumente und Einstellungen\jan\Anwendungsdaten\AdobeUM
2006-11-22 17:46 -------- d-------- C:\Programme\FRITZ!
2006-11-15 18:45 -------- d-------- C:\Programme\IrfanView
2006-11-14 09:59 -------- d-------- C:\Dokumente und Einstellungen\jan\Anwendungsdaten\phonostar-Player
2006-10-22 14:20 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-11 09:52 -------- d-------- C:\Programme\phonostar
2006-09-13 07:31 1738048 --a------ C:\WINNT\system32\NTKRNLPA.EXE
2006-09-13 07:31 1716672 --a------ C:\WINNT\system32\NTOSKRNL.EXE
2006-09-06 05:58 1110528 --a------ C:\WINNT\system32\msxml3.dll
2006-08-28 12:03 529680 --a------ C:\WINNT\system32\comctl32.dll

#8 comarder

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Gold Codec

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Virus-Bursters

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

______________

poste das log vom Hijackthis
http://virus-protect.org/hjtkurz.html

dann reinigen wir das in 2 minuten
__________
MfG Sabina

rund um die PC-Sicherheit

#9 so, einmal für Gold Codec:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 23.11.2006 15:31:54 for strings:
; 'gold codec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}\InprocServer32]
@="C:\\Programme\\Gold Codec\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}\InprocServer32]
@="C:\\Programme\\Gold Codec\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Gold Codec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Gold Codec\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006]
"UninstallString"="\"C:\\Programme\\Gold Codec\\iesuninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03]
"UninstallString"="\"C:\\Programme\\Gold Codec\\pmuninst.exe\""

[HKEY_USERS\S-1-5-21-1935655697-606747145-682003330-1112\Software\Internet Security]
"Path"="C:\\Programme\\Gold Codec"

; End Of The Log...


und für Virus-Burster:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 23.11.2006 15:35:17 for strings:
; 'virus-burster'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}\1.0\0\win32]
@="C:\\Programme\\Virus-Bursters\\virus-bursters.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}\1.0\HELPDIR]
@="C:\\Programme\\Virus-Bursters\\"

; End Of The Log...


und hijack log:


Logfile of HijackThis v1.99.1
Scan saved at 15:46:06, on 23.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gold Codec\isamonitor.exe
C:\Programme\Gold Codec\pmsngr.exe
C:\Programme\Gold Codec\isamini.exe
C:\Programme\Gold Codec\pmmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\system32\hpnra.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\klickTel\KLICKI~1\KMON.EXE
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\JavaSoft\JRE\1.5.0\bin\javaw.exe
C:\Programme\Nuernberger\Basis\Basisserver.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\jan\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.nuernberger-extranet.de/securid-auth?/wm/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Gold Codec\isaddon.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Programme\Gold Codec\iesplugin.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINNT\system32\hpnra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\JavaSoft\JRE\1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ Windows] C:\WINNT\WinSecurity\services.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [InversMonitor] C:\PROGRA~1\klickTel\KLICKI~1\KMON.EXE /MONITOR
O4 - HKCU\..\Run: [_Windows] C:\WINNT\WinSecurity\services.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BasisAutostart.lnk = C:\Programme\Nuernberger\Basis\bin\BasisAutostart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ETBDOM.DE
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ETBDOM.DE
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ETBDOM.DE
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O21 - SSODL: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - C:\WINNT\system32\dcvwaah.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: OracleOraHome817BASISClientCache - Unknown owner - C:\Oracle\Ora817BASIS\BIN\ONRSD.EXE

was nun?

#10 Hallo Sabina,

hat funktioniert.

Vielen Dank

Gruß Marque

#11 comarder

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|gimmicks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Classes\CLSID\{40dcff6e-af8d-4183-8ebe-a82270ac449e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}

Files to delete:
C:\WINNT\system32\dcvwaah.dll
C:\WINNT\bbvmwxxf.hml
C:\WINNT\filesms.fms
C:\WINNT\langeinf.lin
C:\WINNT\nonrunso.ber
C:\WINNT\rubezahl.rub
C:\WINNT\runstop.rst

Folders to delete:
C:\WINNT\WinSecurity
C:\Programme\Gold Codec
C:\Programme\Virus-Bursters
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Gold Codec\isaddon.dll

O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Programme\Gold Codec\iesplugin.dll

O4 - HKLM\..\Run: [ Windows] C:\WINNT\WinSecurity\services.exe

O4 - HKCU\..\Run: [_Windows] C:\WINNT\WinSecurity\services.exe

___________
PC neustarten

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

________________________________________________________________

Email-Worm.Win32.Sober.y
http://www.antiviruslab.com/description.php?lang=de&virus=288453
C:\WINNT\WinSecurity\services.exe

Zitat

Allgemeine Beschreibung:
Bekannt wurde Email-Worm.Win32.Sober.y durch eine Warnung des BKA, in dessen Name sich der Wurm verschickt. Angeblich wurde der Rechner überwacht und eine Anzeige erstattet. Die Details stünden angeblich im Anhang. Der enthält allerdings den Schädling. Aber auch andere falsche Adressen werden verwendet. So gibt sich diese Sober-Version auch als Gewinnmitteilung von RTLs Quiz "Wer wird Millionär?" aus, als Admin/Hostmaster/Webmaster/Postmaster von AOL, eBay, gmx oder T-Online oder als falsch zugestellte E-Mail.

__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo Sabina,

das Blinken ist weg. Jubel, Trubel Heiterkeit!!!!! Hab alles so gemacht, wie du sagtest. Das einzige, was nicht klappt ist der kaspersky-Scan. Habe hier auf dem Rechner noch Norten drauf. Sagt mir aber, dass das nicht gleichzeitig installiert sein darf. Möchte das jetzt auch nicht unbedingt runterschmeissen. Reicht das denn bis hier hin, oder muß der Kaspersky unbedingt, zwingend und überhaupt, noch gemacht werden?

Lieben Gruß

Jan

#13 ist ein Onlinescan - wieso soll der sich nicht mit Symantec vertragen ????
http://virus-protect.org/onlinescan.html

Email-Worm.Win32.Sober.y - muss geloescht werden, auch wenn ich einige daten in den Avenger gepackt habe, weiss ich nicht, ob ich alles vom Wurm erwischt hab.
du kannst auch mit panda scannen ... irgendeine Scanner, der den Sober erkennt und loescht - dein Symantec scheint es nicht gebacken zu bekommen
__________
MfG Sabina

rund um die PC-Sicherheit

#14

Zitat

Sabina postete
ist ein Onlinescan - wieso soll der sich nicht mit Symantec vertragen ????
http://virus-protect.org/onlinescan.html

Email-Worm.Win32.Sober.y - muss geloescht werden, auch wenn ich einige daten in den Avenger gepackt habe, weiss ich nicht, ob ich alles vom Wurm erwischt hab.
du kannst auch mit panda scannen ... irgendeine Scanner, der den Sober erkennt und loescht - dein Symantec scheint es nicht gebacken zu bekommen

Hallo Sabina,

habe das jetzt mit Panda gemacht und hat auch geklappt! hier das Log:

Incident Status Location

Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/Bfast Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.bfast.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[sel.as-eu.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.atdmt.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.ehg.hitbox.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.hitbox.com/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.adtech.de/]
Spyware:Cookie/Yadro Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.yadro.ru/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.advertising.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.2o7.net/]
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.xiti.com/]
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.com.com/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.statcounter.com/]
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\jan\Anwendungsdaten\Phoenix\Profiles\default\x3jibtbp.slt\cookies.txt[.apmebf.com/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\jan\Cookies\jan@ad.yieldmanager[1].txt
Spyware:Cookie/Malwarewipe Not disinfected C:\Dokumente und Einstellungen\jan\Cookies\jan@malwarewipe[1].txt


wat nu? allet weg, oder muß da noch was gemacht werden?

lieben gruß

jan

#15 comarder

ich habe ein removaltool vom Symantec gefunden
wende es an
http://www.sarc.com/avcenter/venc/data/w32.sober.x@mm.html

dann poste das neue Log vom Hijackthis, bitte
__________
MfG Sabina

rund um die PC-Sicherheit