UnSpyPC hat sich auf meinem rechner eingenistet

#0
05.04.2006, 22:08
...neu hier

Beiträge: 7
#1 moin, hab mir heute unspypc eingefangen. Antivir hat darauf folgende dateien ins Quarantäne verzeichniss verschoben

C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\system32\howiper.exe

Da ich leider überhaupt keinen Plan hab, hab ich unspypc erstma deinstalliert, und CleanUp genau nach der Anleitung durchlaufen lassen. jetzt hab ich aber gelesen, dass mein rechner trotzdem noch verseucht ist

Hier erstmal mein logfile (nach CleanUp und der deinstallation)

Logfile of HijackThis v1.99.1
Scan saved at 21:51:26, on 05.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Secretmaker\secretmaker.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\root\Desktop\Downloads\Progs\HijackThis.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Hinternsex Explorer
R3 - URLSearchHook: (no name) - {3A6688F9-8698-53B9-D2A4-7ECA5CAB29A8} - teqq32.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll
O2 - BHO: (no name) - {CE57DA55-F491-45C6-B3DB-6C98E4B17CDC} - C:\Programme\Secretmaker\secretmakerie.dll
O3 - Toolbar: SECRETMAKER - {7435856C-6CA1-45CF-A00D-82178387F223} - C:\Programme\Secretmaker\secretmakerie.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe
O4 - HKLM\..\Run: [Testimonials] trycrt.exe
O4 - HKLM\..\Run: [dePloy] dialer423.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [SYSTRAV] ParisM.exe
O4 - HKCU\..\Run: [wormexe] StatusCheck.exe
O4 - HKCU\..\Run: [sysmon12] scanSYS.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: SECRETMAKER (2).lnk = C:\Programme\Secretmaker\secretmaker.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAA281F5-D71E-4220-8861-37A5628E195C}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{F83A0E85-3ED1-47BD-AF2C-2C10B47B9485}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\root\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

vielen dank schon mal im Voraus.
Seitenanfang Seitenende
06.04.2006, 00:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 **

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2FDB21EE-AE4F-D8B4-B896-B87B675B623B}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]



1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {3A6688F9-8698-53B9-D2A4-7ECA5CAB29A8} - teqq32.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll
O2 - BHO: (no name) - {CE57DA55-F491-45C6-B3DB-6C98E4B17CDC} - C:\Programme\Secretmaker\secretmakerie.dll
O3 - Toolbar: SECRETMAKER - {7435856C-6CA1-45CF-A00D-82178387F223} - C:\Programme\Secretmaker\secretmakerie.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [Testimonials] trycrt.exe
O4 - HKLM\..\Run: [dePloy] dialer423.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [SYSTRAV] ParisM.exe
O4 - HKCU\..\Run: [wormexe] StatusCheck.exe
O4 - HKCU\..\Run: [sysmon12] scanSYS.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen.


C:\Programme\UnSpyPC --> deinstallieren

--------------------------------------------------------------------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2006, 19:35
...neu hier

Themenstarter

Beiträge: 7
#3 danke erstmal soweit

Datentr„ger in Laufwerk C: ist VOLLHORST
Volumeseriennummer: 28DF-6168


Verzeichnis von C:\WINDOWS\system32

06.04.2006 17:03 664 d3d9caps.dat
06.04.2006 17:03 43.573 nvapps.xml
06.04.2006 17:02 1.080 settingsbkup.sfm
06.04.2006 17:02 1.080 settings.sfm
06.04.2006 17:02 11.564 DVCState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx
06.04.2006 17:02 31.056 BMXStateBkp-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx
06.04.2006 17:02 30.528 BMXCtrlState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx
06.04.2006 17:02 30.528 BMXBkpCtrlState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx
06.04.2006 17:02 31.056 BMXState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx
05.04.2006 16:33 654.111 filesafer23.exe
05.04.2006 16:33 45.568 pppcgm.exe
05.04.2006 16:33 155.648 tuajl.dll
05.04.2006 16:32 51.288 csuyl.exe

04.04.2006 19:07 2.206 wpa.dbl
29.03.2006 20:26 57.344 avsda.dll
27.03.2006 17:41 39.992 perfc009.dat
27.03.2006 17:41 48.156 perfc007.dat
27.03.2006 17:41 316.594 perfh007.dat
27.03.2006 17:41 311.604 perfh009.dat
27.03.2006 17:41 723.744 PerfStringBackup.INI
23.03.2006 00:35 261.432 FNTCACHE.DAT
21.02.2006 18:45 219.648 uxtheme.dll
03.02.2006 09:43 2.332.368 d3dx9_29.dll
03.02.2006 09:42 230.096 xactengine2_0.dll
03.02.2006 09:41 14.032 x3daudio1_0.dll
11.01.2006 00:46 6.948 jupdate-1.5.0_06-b05.log
01.01.2006 18:24 7.680 Thumbs.db
31.12.2005 03:30 23.392 nscompat.tlb
31.12.2005 03:30 16.832 amcompat.tlb
30.12.2005 17:04 184 e000001.dat
30.12.2005 16:47 251 spupdwxp.log
30.12.2005 16:33 25.065 wmpscheme.xml
30.12.2005 16:28 261 $winnt$.inf
30.12.2005 16:25 2.951 CONFIG.NT
30.12.2005 16:24 488 logonui.exe.manifest
30.12.2005 16:24 488 WindowsLogon.manifest
30.12.2005 16:24 749 wuaucpl.cpl.manifest
30.12.2005 16:24 749 cdplayer.exe.manifest
30.12.2005 16:24 749 sapi.cpl.manifest
30.12.2005 16:24 749 nwc.cpl.manifest
30.12.2005 16:24 749 ncpa.cpl.manifest
30.12.2005 16:21 21.740 emptyregdb.dat
30.12.2005 16:08 0 h323log.txt


============================================

Datentr„ger in Laufwerk C: ist VOLLHORST
Volumeseriennummer: 28DF-6168

Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp

06.04.2006 17:39 0 fcw6.tmp
06.04.2006 17:13 206 jusched.log
06.04.2006 17:03 134 hpotdd002.log
06.04.2006 17:02 134 hpotdd001.log
06.04.2006 16:59 134 hpotdd000.log
5 Datei(en) 608 Bytes
0 Verzeichnis(se), 8.620.949.504 Bytes frei

============================================

Datentr„ger in Laufwerk C: ist VOLLHORST
Volumeseriennummer: 28DF-6168

Verzeichnis von C:\WINDOWS

06.04.2006 19:23 513 DFC.INI
06.04.2006 17:49 49 NeroDigital.ini
06.04.2006 17:03 0 0.log
06.04.2006 17:03 50 wiaservc.log
06.04.2006 17:03 159 wiadebug.log
06.04.2006 17:03 4.958.588 {00000000-00000000-00000013-00001102-00000004-20021102}.CDF
06.04.2006 17:02 2.048 bootstat.dat
06.04.2006 17:02 32.630 SchedLgU.Txt
06.04.2006 17:02 39.212 WindowsUpdate.log
06.04.2006 16:51 318.724 ntbtlog.txt
06.04.2006 16:34 4.456 rdt.ini
06.04.2006 07:36 4.958.588 {00000000-00000000-00000013-00001102-00000004-20021102}.BAK
05.04.2006 16:33 6.400 balloon.wav
25.03.2006 01:03 549.974 setupapi.log
24.03.2006 18:16 50.222 wmsetup.log
23.03.2006 20:26 14.848 Thumbs.db
23.03.2006 20:05 227 system.ini
23.03.2006 20:05 604 win.ini

============================================

Datentr„ger in Laufwerk C: ist VOLLHORST
Volumeseriennummer: 28DF-6168

Verzeichnis von C:\

06.04.2006 19:25 0 sys.txt
06.04.2006 19:23 7.123 system.txt
06.04.2006 19:22 486 systemtemp.txt
06.04.2006 19:21 112.182 system32.txt
06.04.2006 17:02 1.610.612.736 pagefile.sys
01.04.2006 13:30 6.777 hpfr3600.log
23.03.2006 20:05 211 boot.ini
30.12.2005 16:40 47.564 NTDETECT.COM
30.12.2005 16:40 251.184 ntldr
30.12.2005 16:25 0 IO.SYS
30.12.2005 16:25 0 CONFIG.SYS
30.12.2005 16:25 0 AUTOEXEC.BAT
30.12.2005 16:25 0 MSDOS.SYS
23.08.2001 18:00 4.952 bootfont.bin
14 Datei(en) 1.611.043.215 Bytes
0 Verzeichnis(se), 8.620.945.408 Bytes frei

============================================

04/06/06 19:26:59 [Info]: BlackLight Engine 1.0.35 initialized
04/06/06 19:26:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/06/06 19:26:59 [Note]: 7019 4
04/06/06 19:26:59 [Note]: 7005 0
04/06/06 19:27:20 [Note]: 7006 0
04/06/06 19:27:20 [Note]: 7011 836
04/06/06 19:27:20 [Note]: 7026 0
04/06/06 19:27:20 [Note]: 7026 0
04/06/06 19:27:20 [Note]: FSRAW library version 1.7.1015
04/06/06 19:30:08 [Note]: 7007 0
Seitenanfang Seitenende
07.04.2006, 00:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .......

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\tuajl.dll
Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp\fcw6.tmp
C:\WINDOWS\system32\csuyl.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav

PC neustarten


damit wird die Internetverbindung geloescht (geht in die Ukraine.....)
Du musst nach dem Neustart eine neue erstellen !!!


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAA281F5-D71E-4220-8861-37A5628E195C}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{F83A0E85-3ED1-47BD-AF2C-2C10B47B9485}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -->kopiere die txt-Datei ins Forum

scanne mit ewido und poste dens scanreport
http://virus-protect.org/ewido.html
+
das neue Log vom HijackThis

---------

Zitat

O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
notify: support@inhoster.com
notify: support@ydav.com
changed: support@ydav.com 20050725
source: RIPE



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2006, 21:19
...neu hier

Themenstarter

Beiträge: 7
#5 ich hoffe mal, dass ich alles soweit richtig gemacht hab

Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ytjmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

============================================================

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:01:45, 08.04.2006
+ Report-Checksumme: 81C7DE37

+ Scanergebnis:

[420] VM_02420000 -> Trojan.Pakes : Fehler beim Säubern
:mozilla.35:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt -> TrackingCookie.Findwhat : Gesäubert mit Backup
:mozilla.41:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt -> TrackingCookie.Sextracker : Gesäubert mit Backup
:mozilla.42:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt -> TrackingCookie.Sextracker : Gesäubert mit Backup
:mozilla.43:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt -
C:\Dokumente und Einstellungen\root\Cookies\root@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-220523388-1303643608-839522115-1003\Dc3.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-220523388-1303643608-839522115-1003\Dc6.exe -> Adware.Msnagent : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-220523388-1303643608-839522115-1003\Dc7.exe -> Hijacker.Small : Gesäubert mit Backup
C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP123\A0030405.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP124\A0030689.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP124\A0031689.exe -> Downloader.Agent.uj : Gesäubert mit Backup
C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031821.exe -> Adware.Msnagent : Gesäubert mit Backup
C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031824.exe -> Hijacker.Small : Gesäubert mit Backup
C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031825.exe -> Adware.Msnagent : Gesäubert mit Backup
C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031827.exe -> Downloader.Agent.uj : Gesäubert mit Backup
D:\System\Icons\sexy.exe -> Dialer.Generic : Gesäubert mit Backup
E:\DOWNLOADS\Neuer Ordner\REST\Neuer Ordner123\Rest\Virus\sys.reg -> Hijacker.StartPage : Gesäubert mit Backup
:mozilla.6:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.7:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.8:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.9:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.10:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.11:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
:mozilla.12:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Cookies\root@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Cookies\root@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Cookies\root@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup


::Report Ende

============================================================

Logfile of HijackThis v1.99.1
Scan saved at 21:17:12, on 08.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\root\Desktop\Downloads\Progs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Hinternsex Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe
O4 - HKLM\..\Run: [dmjve.exe] C:\WINDOWS\system32\dmjve.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\root\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


und danke nochmal
Seitenanfang Seitenende
08.04.2006, 21:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
loesche mit der killbox
C:\WINDOWS\system32\dmjve.exe

2.
fixe mit dem HijackThis:

O4 - HKLM\..\Run: [dmjve.exe] C:\WINDOWS\system32\dmjve.exe

pc neustarten

3.
poste das log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2006, 22:46
...neu hier

Themenstarter

Beiträge: 7
#7 sorry, hat etwas gedauert aber musste erst das script host aktivieren

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"RemoteCenter" = "C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" ["Creative Technology Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"CTSysVol" = "C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r" ["Creative Technology Ltd"]
"CTDVDDET" = "C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" ["Creative Technology Ltd"]
"SBDrvDet" = "C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r" ["Creative Technology Ltd"]
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"Gainward" = "C:\WINDOWS\TBPanel.exe /A" ["Gainward Co."]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Omnipage" = "C:\Programme\ScanSoft\OmniPageSE\opware32.exe" ["ScanSoft, Inc"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]
"YCentral" = "c:\progra~1\yahoo!\YCentral\YahooCentral.exe" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad"
-> {HKLM...CLSID} = "TextPad"
\InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}" = "ZipGenius Shell Extension"
-> {HKLM...CLSID} = "ZipGenius Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]
"{2E5AC2E0-406D-11D4-86B3-FA5861508E25}" = "ZipGenius Zip InfoTip"
-> {HKLM...CLSID} = "ZipGenius InfoTip"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\zgtips.dll" ["M.Dev Software"]
"{310A0C95-EA11-42AE-A8E4-53E69E650310}" = "ZipGenius Drop handler"
-> {HKLM...CLSID} = "ZipGenius Drag and Drop handler"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\DROPHA~1.DLL" ["M.Dev Software"]
"{FE8D01BF-610A-4261-9C6E-32D65A42C907}" = "ZipGenius DnD Extract handler"
-> {HKLM...CLSID} = "ZipGenius DnD Extract handler"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\ZGDRAG~1.DLL" ["M.Dev Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}"
-> {HKLM...CLSID} = "FileWiperContextMenuExtension"
\InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}"
-> {HKLM...CLSID} = "TextPad"
\InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
ZipGenius 6\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}"
-> {HKLM...CLSID} = "ZipGenius Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}"
-> {HKLM...CLSID} = "FileWiperContextMenuExtension"
\InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
ZipGenius 6\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}"
-> {HKLM...CLSID} = "ZipGenius Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}"
-> {HKLM...CLSID} = "FileWiperContextMenuExtension"
\InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "root" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\root\Startmenü\Programme\Autostart
"Stardock ObjectDock" -> shortcut to: "C:\Programme\Stardock\ObjectDock\ObjectDock.exe" ["Stardock"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"D-Link AirPlus G+ Wireless Adapter Utility" -> shortcut to: "C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE" ["D-Link"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "smnsp.dll" ["Windows (R) 2000 DDK provider"]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{7435856C-6CA1-45CF-A00D-82178387F223}"
-> {HKLM...CLSID} = "SECRETMAKER"
\InProcServer32\(Default) = "C:\Programme\Secretmaker\secretmakerie.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.exe" ["Creative Technology Ltd"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt08\Driver = "hpzsnt08.dll" ["HP"]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 31 seconds, including 5 seconds for message boxes)
Seitenanfang Seitenende
08.04.2006, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

-------

ScanOnline neu Bitdefender -> poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 13:20
...neu hier

Themenstarter

Beiträge: 7
#9 also das mit den registry-einträgen sollte geklapt haben, aber der Bitdefender scaner verursacht immer irgendnen fehler:

Error while updating from server.
File : bdinit.xe
Please retry

und nachdem man das Land ausgewählt hat:

Failed to execute live update
Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.
Seitenanfang Seitenende
09.04.2006, 14:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 dann versuche es mit einem Scanner, der funktioniert (Panda, kaspersky)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 17:50
...neu hier

Themenstarter

Beiträge: 7
#11 so, hab es jetzt mit panda nochmal versucht.
Not disinfected C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt[37899602]
Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt[]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\root\Cookies\root@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\root\Cookies\root@doubleclick[1].txt

Virus:W32/Parite.B Not disinfected C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\Smilies1.zip[File121]
Virus:W32/Parite.B Not disinfected C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\SmiliesL1.zip[File32]
Virus:W32/Parite.B Not disinfected C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\SmiliesL2.zip[File64]

Potentially unwanted tool:Application/Pskill.A Not disinfected E:\DOWNLOADS\Neuer Ordner\REST\XP\Pstools211.zip[pskill.exe]
Potentially unwanted tool:Application/Psexec.A Not disinfected E:\DOWNLOADS\Neuer Ordner\REST\XP\Pstools211.zip[psexec.exe]
Seitenanfang Seitenende
09.04.2006, 18:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 hatte ich ganz vergessen--> C:\Programme\UnSpyPC -> deinstallieren/loeschen !!!
(ist der ursprung der malware.....)

loesche:

C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\Smilies1.zip
C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys

dann sollte wieder alles in Ordnung sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 18:10
...neu hier

Themenstarter

Beiträge: 7
#13 vielen dank für deine Hilfe - endlich bin ich diesen sch... wieder los

weiter so und Viele Grüße
der stinker
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: