tibs dialer, trojan downloader ruin deskwizz

#0
08.04.2006, 19:19
Member

Beiträge: 11
#1 Hallo,
bin technisch unbegabt und brauche Hilfe. Habe eine Menge online-Scanner und andere Programme durchrattern lassen. DIe meisten finden nichts, aber Spyswweper findet einmal einen tibs.dialer und einmal troja downloader ruin. Einmal das ein dann wieder das andere.??? .
Der Panda online scan findet Adware: adware.deskwizz in der Windows registry .
Zudem taucht immer wieder ein spyware cokkie falkaq auf, obwohl ich es lösche.
Weder ewido, ANtivir, adaware, Spybot usw. finden diese und ich kann sie nicht löschen.
Was kann ich tun?
mein log:

Logfile of HijackThis v1.99.1
Scan saved at 18:29:33, on 8.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Webroot\Washer\wwDisp.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://mikefolie.myphotoalbum.com/EasyUploadTool.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4734/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 85.255.114.62 85.255.112.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
Seitenanfang Seitenende
08.04.2006, 21:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Garret

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier kopieren

-------------------------------------------------------------

deine TCP-Verbindung...geht in die Ukraine....
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70

das ist der Wareout........

Zitat

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 14:15
Member

Themenstarter

Beiträge: 11
#3 Danke vorerst.
a)cleanup ausgeführt.
b) log 1:
Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: A8E4-9AC4

Verzeichnis von C:\WINDOWS\system32

09.04.2006 13:55 311.604 perfh009.dat
09.04.2006 13:55 39.992 perfc009.dat
09.04.2006 13:55 48.156 perfc007.dat
09.04.2006 13:55 316.594 perfh007.dat
09.04.2006 13:55 723.744 PerfStringBackup.INI
08.04.2006 18:25 2.550 Uninstall.ico
08.04.2006 18:25 1.406 Help.ico
08.04.2006 18:25 30.590 pavas.ico
06.04.2006 21:24 2.206 wpa.dbl
17.03.2006 07:01 43.520 CmdLineExt03.dll
10.03.2006 02:10 4.799.320 MRT.exe
28.02.2006 16:20 3.056 qtplugin.log
23.02.2006 11:22 57.344 avsda.dll
19.02.2006 15:21 21.840 SIntfNT.dll
19.02.2006 15:21 17.212 SIntf32.dll
19.02.2006 15:21 12.067 SIntf16.dll
03.02.2006 15:52 8.192 ssiefr.EXE
03.02.2006 15:52 492.544 WRLogonNtf.dll
03.02.2006 15:52 17.920 wrlzma.dll
21.01.2006 11:50 8.704 Thumbs.db
07.01.2006 11:42 16.832 amcompat.tlb
07.01.2006 11:42 23.392 nscompat.tlb

log 2: (da ist nichts drinnen)
Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: A8E4-9AC4

Verzeichnis von C:\DOKUME~1\Mike\LOKALE~1\Temp

log 3:

Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: A8E4-9AC4

Verzeichnis von C:\WINDOWS

09.04.2006 13:51 0 0.log
09.04.2006 13:51 1.380.190 WindowsUpdate.log
09.04.2006 13:51 157 wiadebug.log
09.04.2006 13:51 50 wiaservc.log
09.04.2006 13:51 2.048 bootstat.dat
08.04.2006 21:26 32.628 SchedLgU.Txt
08.04.2006 18:25 32 pavsig.txt
08.04.2006 18:09 1.355 win.ini
08.04.2006 18:09 249 system.ini
08.04.2006 10:14 671.942 setupapi.log
06.04.2006 22:19 54.156 QTFont.qfn
02.04.2006 11:49 1.409 QTFont.for
26.03.2006 17:47 201.776 wmsetup.log
25.03.2006 14:00 72 WININIT.INI
17.03.2006 16:46 490 SIERRA.INI
25.02.2006 10:29 739.826 ntbtlog.txt
25.02.2006 10:23 22.619 KB913446.log
19.02.2006 21:04 87.738 Directx.log
18.02.2006 11:18 29.856 spupdsvc.log
17.02.2006 23:43 32.315 ocmsn.log
17.02.2006 23:43 1.374 imsins.log
17.02.2006 23:43 788.711 iis6.log
17.02.2006 23:43 235.072 comsetup.log
17.02.2006 23:43 25.963 tabletoc.log
17.02.2006 23:43 282.972 tsoc.log
17.02.2006 23:43 140.234 ntdtcsetup.log
17.02.2006 23:43 21.751 KB911927.log
17.02.2006 23:43 315.534 ocgen.log
17.02.2006 23:43 29.714 msgsocm.log
17.02.2006 23:43 90.182 netfxocm.log
17.02.2006 23:43 37.424 medctroc.Log
17.02.2006 23:43 560.270 FaxSetup.log
17.02.2006 23:43 200.226 msmqinst.log
17.02.2006 23:43 24.231 updspapi.log
17.02.2006 23:43 1.374 imsins.BAK
17.02.2006 23:43 15.358 KB911564.log
17.02.2006 23:43 15.696 KB911565.log
17.02.2006 22:07 825 XCL_LOG.TXT
03.02.2006 15:53 478.720 WRUninstall.dll
21.01.2006 11:51 76.288 Thumbs.db
15.01.2006 20:04 810 Rtcw.INI
11.01.2006 21:16 10.172 KB908519.log

log 4:

Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: A8E4-9AC4

Verzeichnis von C:\

09.04.2006 14:08 0 sys.txt
09.04.2006 14:07 11.620 system.txt
09.04.2006 14:06 129 systemtemp.txt
09.04.2006 14:01 101.275 system32.txt
08.04.2006 18:09 211 boot.ini
25.02.2006 18:40 360 sound_bank_log.txt
25.02.2006 18:37 3.450 bink_log.txt

Den f-secure beta trial habe ich 2 mal durchlaufen lassen. No items found, habe aber keine txt-Datei auf dem Desktop.


Vielen Dank
Seitenanfang Seitenende
09.04.2006, 14:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Garret

es ist nichts mehr zu finden..nur die verstellte TCP-Verbindung

wenn du sie fixt, musst du nach Neustart eine neue Internetverbindung erstellen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 85.255.114.62 85.255.112.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}: NameServer = 85.255.114.62,85.255.112.70

PC neustarten

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

arbeite smitfraud
ab und poste beide Logs
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 16:46
Member

Themenstarter

Beiträge: 11
#5 Hallo Sabina

beim hijack habe ich das zweite nicht gefunden und die anderen drei gefixt.
Fixwareout:

Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

Smitfraud:
mitFraudFix v2.28

Scan done at 16:46:35,12, So 09.04.2006
Run from C:\Dokumente und Einstellungen\Mike\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Mike\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Ich habe alles so gemacht wie beschrieben, habe aber immer noch die Internetverbindung, obwohl ich diese doch neu einrichten müsste!

Danke weiterhin für deine Mühe
Seitenanfang Seitenende
09.04.2006, 17:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
poste das neue Log vom HijackThis

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{5CFD2B69-FC49-4C97-BAF4-0BBDB77E16F1}

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 18:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 netbios deaktivieren
http://fortgeschrittene.support-direkt.de/netbios_anleitung.php

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 18:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
netbios deaktivieren
http://fortgeschrittene.support-direkt.de/netbios_anleitung.php

2.
Fixe mit dem HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 85.255.114.62 85.255.112.70

PC neustarten

3.
dann ueberpruefe, ob deine TCP-Verbindung nach erstellen einer neuen Internetverbindung korrekt ist.
(mit HijackThis)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 18:38
Member

Themenstarter

Beiträge: 11
#9 Ok. erledigt.
Habe Internet-Verbindung manuell gelöscht und wieder neu eingerichtet, doch es scheint wieder da zu sein:

Logfile of HijackThis v1.99.1
Scan saved at 18:38:28, on 9.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Webroot\Washer\wwDisp.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://mikefolie.myphotoalbum.com/EasyUploadTool.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4734/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBA72A76-A34A-4FAC-97B1-20051DD42BA5}: NameServer = 193.12.150.2 212.247.152.2
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
Seitenanfang Seitenende
09.04.2006, 18:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ;)
es ist wieder in Ordnung ;)

buegel noch mal mit zwei drei Onlinescannern ueber das System
http://virus-protect.org/onlinescan.html

Zitat

inetnum: 193.12.0.0 - 193.15.255.255
org: ORG-TA44-RIPE
netname: SE-SWIPNET-970130
descr: Provider Local Registry
descr: SWIPNET
country: SE
admin-c: SWIP-RIPE
tech-c: SWIP-RIPE
status: ALLOCATED PA

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 18:59
Member

Themenstarter

Beiträge: 11
#11 Hallo Sabina,

Werde nun noch alle möglichen scanner durchrattern lassen.
Das blöde Adware.adware: deswizz ist leider immer noch da, aber da werde ich wohl in ein anderes Forum müssen.
Meine volle Hochachtung vor deiner Leistung und ein herzliches Danke!!
Seitenanfang Seitenende
09.04.2006, 19:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wieso in ein anderes Forum muessen ?
schreib mir den Pfad der Malware, oder welcher Scanner es wie/wo anzeigt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 19:19
Member

Themenstarter

Beiträge: 11
#13 Dachte, da es ein adware ist..müßte ich unter spyware, aber das ist es ja nicht..

also, der Panda scanner findet es, sonst keiner. ALs Standort ist
windows registry angegeben, sonst nix.
Der spysweeper findet noch das cookie 20/net.cookie unter
dok und einstellungen/mike/cookies/mike@msnportal.112.207(1).txt

Und plötzlich meldet der ANtivir:
C:\System Volume Information\_restore{BA8E2DA5-6D66-4686-8503-69A4F0522CAC}\RP263\A0222091.exe
sowie: SPR/Processor.20
Dieser Beitrag wurde am 09.04.2006 um 20:01 Uhr von Garret editiert.
Seitenanfang Seitenende
09.04.2006, 22:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2. cookie + SPR/Processor.20 sind ungefaehrlich

3. den Registryeintrag, da kann ich auch nichts machen, denn ich kenne die genannte Adware nicht.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2006, 19:13
Member

Themenstarter

Beiträge: 11
#15 hallo Sabina,

danke noch mal für alles!!!!!
Mfg
Garret alias Mike
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: