Home » Spyware & Browser Hijacker Support Forum » IE öffnet immer, AntiVir meldet TR/Dldr.Adload.AY.1 » Themenansicht

IE öffnet immer, AntiVir meldet TR/Dldr.Adload.AY.1
#0
01.05.2006, 10:31
peterus
Member

Beiträge: 36
#1 Hallo,

hab leider mal eine exe zu schnell angeklickt, war leider ein Trojaner.
Ich kenne mich in dem gebiet mit Trojaner und Viren garnicht aus, deshalb brauch ich eure Hilfe.
Alles was ich bis jetzt immer so gelesen habe is das mit HijackThis (Log unten).
Es öffnen sich immer nervige IE Fenster die dann leere seiten anzeigen.
Der AntiVir hat bei der Datei (C:\Windows\keyboard15.exe) geschrien das er den Trojaner hat wie in der Überschrift.

Hier mal Log File:

Logfile of HijackThis v1.99.1
Scan saved at 10:21:45, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\xampp\apache\bin\Apache.exe
E:\Programme\xampp\filezillaftp\filezillaserver.exe
E:\Programme\Borland\InterBase\bin\ibguard.exe
E:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\programme\onlineeye pro\onlineeye.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\jalcds\jalcds.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Synergy\synergys.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Programme\xampp\apache\bin\Apache.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\windows\mousepad15.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Shutdown4U\Shutdown4U.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WinTV\Ir.exe
E:\Programme\BOINC\boincmgr.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\GetRight\getright.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\IM2\bin\im2.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Allzeit Atomzeit\Atomzeit.exe
C:\Programme\Allzeit Zeitsignal\Zeitsignal.exe
E:\Programme\BOINC\boinc.exe
E:\Programme\BOINC\projects\einstein.phys.uwm.edu\albert_4.37_windows_intelx86.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PETERB~1\LOKALE~1\Temp\Rar$EX00.234\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TRIXX] "E:\Programme\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [VersionCheck] "C:\Programme\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\programme\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [jaLCDs] C:\Programme\jalcds\jalcds.exe wait
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard15.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad15.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname15.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shutdown4U] C:\Programme\Shutdown4U\Shutdown4U.exe -t -s
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: IM2.lnk = C:\Programme\IM2\bin\im2.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Startup: Verknüpfung mit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe
O4 - Startup: Verknüpfung mit Zeitsignal.lnk = C:\Programme\Allzeit Zeitsignal\Zeitsignal.exe
O4 - Startup: WinMySQLadmin.lnk = E:\Programme\xampp\mysql\bin\winmysqladmin.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: BOINC Manager.lnk = E:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzed029YYAT_ZNfox000
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133627733656
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.243.185.195/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C47744EF-BF13-4BFD-ADDE-B9F13747A403}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WB - C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\l80ulid9180.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - E:\Programme\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - E:\Programme\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - E:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - E:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - E:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Synergy Server - Unknown owner - C:\Programme\Synergy\synergys.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - E:\Programme\xampp\service.exe

Lg Peter
Seitenanfang Seitenende
01.05.2006, 11:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 peterus

0.
Look2Me-Destroyer V1.0.5 abarbeiten (poste den scanreport)
http://virus-protect.org/l2mfix.html

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
PC neustarten

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 11:59
peterus
Member

Themenstarter

Beiträge: 36
#3 Ich habe hier mal die Anfangs Log Datei:

UPS Falsches Programm erwischt, das richtige Log kommt gleich


Soll ich jetzt mit der Taste 2 Weitermachen (in dem Programm) oder beim Punkt 1?

Lg Peter
Dieser Beitrag wurde am 01.05.2006 um 12:02 Uhr von peterus editiert.
Seitenanfang Seitenende
01.05.2006, 12:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich schrieb:

Zitat

Look2Me-Destroyer V1.0.5 abarbeiten
wenn du schon den l2fixme hast, arbeite Option 2 ab, starte den PC neu und warte den scan ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 12:36
peterus
Member

Themenstarter

Beiträge: 36
#5 So ich habs jetzt schon öffters Probiert das ich da das Log reinschreibe, mein IE bleibt aber immer hängen, ka warum, wahrscheinlich zu groß.
Brauchst du einen bestimmten teil, oder alles?
oder soll ich es doch lieber mir Look2Me-Destroyer ausprobieren?

Habe hier mal das Log file von Look2Me:


Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 01.05.2006 12:43:05

Infected! C:\WINDOWS\system32\blgpio32.dll
Infected! C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\dy8vb.dll
Infected! C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\fppu0379e.dll
Infected! C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\l80ulid9180.dll
Infected! C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\mcimg32.dll
Infected! C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\mv04l9dq1.dll
Infected! C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\nytfxperf.dll
Infected! C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\wehip6.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036824.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036852.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036856.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036871.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036872.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036873.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036874.dll
Infected! C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036875.dll
Infected! C:\WINDOWS\system32\blgpio32.dll
Infected! C:\WINDOWS\system32\fplq0335e.dll
Infected! C:\WINDOWS\system32\oxbcp32r.dll

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\blgpio32.dll
C:\WINDOWS\system32\blgpio32.dll Deleted successfully!

Attempting to delete: C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\dy8vb.dll
C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\dy8vb.dll Deleted successfully!

Attempting to delete: C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\fppu0379e.dll
C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\fppu0379e.dll Deleted successfully!

Attempting to delete: C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\l80ulid9180.dll
C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\l80ulid9180.dll Deleted successfully!

Attempting to delete: C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\mcimg32.dll
C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\mcimg32.dll Deleted successfully!

Attempting to delete: C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\mv04l9dq1.dll
C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\mv04l9dq1.dll Deleted successfully!

Attempting to delete: C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\nytfxperf.dll
C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\nytfxperf.dll Deleted successfully!

Attempting to delete: C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\wehip6.dll
C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\l2mfix\dlls\wehip6.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036824.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036824.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036852.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036852.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036856.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036856.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036871.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036871.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036872.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036872.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036873.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036873.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036874.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036874.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036875.dll
C:\System Volume Information\_restore{BED13CB7-BA2E-4F58-8B12-02D0CE6FF549}\RP93\A0036875.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\blgpio32.dll
C:\WINDOWS\system32\blgpio32.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\fplq0335e.dll
C:\WINDOWS\system32\fplq0335e.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\oxbcp32r.dll
C:\WINDOWS\system32\oxbcp32r.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BEFB15A8-ACE0-4078-B087-1AD17F729DE3}"
HKCR\Clsid\{BEFB15A8-ACE0-4078-B087-1AD17F729DE3}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded


Ich werde jetzt einfach mal so wie oben beschrieben weitermachen, wenn ich was anders machen soll bitte reinschreiben!

So hier mal die 4 Logs:

Verzeichnis von C:\WINDOWS\system32

01.05.2006 13:07 35.980 vsconfig.xml
01.05.2006 12:09 0 lo2.txtt
30.04.2006 18:06 13.646 wpa.dbl
18.04.2006 16:50 664 d3d9caps.dat
15.04.2006 12:53 118.952 FNTCACHE.DAT
06.04.2006 21:48 5.143.456 MRT.exe
31.03.2006 18:00 2.194.176 kernel1.exe
31.03.2006 16:37 43.520 CmdLineExt03.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
28.03.2006 19:58 4.212 zllictbl.dat
26.03.2006 16:54 403.748 perfh009.dat
26.03.2006 16:54 76.206 perfc007.dat
26.03.2006 16:54 418.154 perfh007.dat
26.03.2006 16:54 63.554 perfc009.dat
26.03.2006 16:54 969.142 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
12.03.2006 13:00 82.944 usbmn1x1.dll
04.03.2006 12:19 552 d3d8caps.dat
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
17.02.2006 10:17 60.104 sirenacm.dll
14.02.2006 09:20 550.120 LegitCheckControl.dll


Verzeichnis von C:\DOKUME~1\PETERB~1\LOKALE~1\Temp

01.05.2006 13:39 1.315 CrashRep.im2
01.05.2006 13:39 493 im2cr.txt
01.05.2006 13:39 172.158 im2trace.txt
01.05.2006 13:16 206 jusched.log
01.05.2006 13:08 16.384 Perflib_Perfdata_1070.dat
01.05.2006 13:07 16.384 Perflib_Perfdata_d9c.dat
01.05.2006 13:07 0 Perflib_Perfdata_83c.dat
01.05.2006 13:06 32.768 ~DFC6E3.tmp
01.05.2006 13:06 16.384 ~DFD66A.tmp
28.04.2006 17:07 148 FEE5E75C.TMP


Verzeichnis von C:\WINDOWS

01.05.2006 13:41 753 wincmd.ini
01.05.2006 13:41 1.014 wcx_ftp.ini
01.05.2006 13:08 0 0.log
01.05.2006 13:07 1.101.777 WindowsUpdate.log
01.05.2006 13:05 2.048 bootstat.dat
01.05.2006 13:04 32.578 SchedLgU.Txt
01.05.2006 13:02 498 onlineeye.INI
01.05.2006 12:18 0 keyboard151.dat
01.05.2006 12:18 0 keyboard161.dat
01.05.2006 12:18 24.576 newname16.exe
01.05.2006 12:18 69.632 mousepad16.exe
01.05.2006 12:18 24.576 keyboard16.exe
28.04.2006 20:00 5.821.094 ntbtlog.txt
27.04.2006 21:51 88.009 setupapi.log
27.04.2006 21:48 578.560 Installer.exe
27.04.2006 21:48 0 newname.dat
27.04.2006 21:48 24.576 newname15.exe
27.04.2006 21:48 40 teller2.chk
27.04.2006 21:48 36.864 mousepad15.exe
27.04.2006 21:47 45.056 keyboard15.exe
27.04.2006 21:28 54.156 QTFont.qfn
27.04.2006 16:44 23 BlendSettings.ini
27.04.2006 15:47 135.585 DirectX.log
26.04.2006 22:49 57.546 iis6.log
26.04.2006 22:49 150.684 tsoc.log
26.04.2006 22:49 82.994 ntdtcsetup.log
26.04.2006 22:49 21.255 ocmsn.log
26.04.2006 22:49 136.815 comsetup.log
26.04.2006 22:49 1.374 imsins.log
26.04.2006 22:49 14.987 KB900485.log
26.04.2006 22:49 19.613 msgsocm.log
26.04.2006 22:49 204.927 ocgen.log
26.04.2006 22:49 373.675 FaxSetup.log
24.04.2006 21:37 2.198 asrc.ini
24.04.2006 18:12 700 win.ini
18.04.2006 00:03 1.659 vtplus32.ini
16.04.2006 18:10 1.618 ATIWDM.LOG
15.04.2006 21:24 69 NeroDigital.ini
15.04.2006 03:38 216 wiadebug.log
15.04.2006 03:38 1.374 imsins.BAK
15.04.2006 03:38 19.033 KB908531.log
15.04.2006 03:38 23.959 updspapi.log
15.04.2006 03:37 18.341 KB911562.log
15.04.2006 03:37 20.284 KB912812.log
15.04.2006 03:37 14.855 KB911567.log
15.04.2006 01:23 50 wiaservc.log
14.04.2006 11:04 314 WGPLAYER.INI
14.04.2006 11:00 783 WINGROOV.INI
13.04.2006 22:39 732 squawkbox.INI
10.04.2006 20:26 1.409 QTFont.for
10.04.2006 20:25 781 GEARInstall.log
09.04.2006 11:55 258.048 Setup1.exe
09.04.2006 11:55 73.216 ST6UNST.EXE
09.04.2006 02:11 259 synergy.sgc
09.04.2006 00:06 3.338 ST6UNST.000
08.04.2006 18:26 49.983 wmsetup.log
31.03.2006 17:36 103.720 Natur_003___1280_x_1024.jpg
31.03.2006 17:36 81.863 Natur_001___1280_x_1024.jpg
31.03.2006 17:36 112.465 Natur_002___1280_x_1024.jpg
31.03.2006 17:35 204.303 Dragon_002.jpg
31.03.2006 17:33 49.516 3D_173___1280_x_1024.jpg
31.03.2006 17:32 136.152 3D_175___1280_x_1024.jpg
31.03.2006 17:32 58.767 3D_164___1280_x_1024.jpg
31.03.2006 17:31 125.872 3D_149___1280_x_1024.jpg
31.03.2006 17:31 192.960 3D_124___1280_x_1024.jpg
31.03.2006 17:30 63.496 3D_142.jpg
31.03.2006 17:29 178.317 3D_120___1280_x_1024.jpg
31.03.2006 17:29 81.086 3D_111___1280_x_1024.jpg
31.03.2006 17:28 169.384 3D_085.jpg
31.03.2006 17:28 55.170 3D_029___1280_x_1024.jpg
31.03.2006 17:27 85.879 3D_010___1280_x_1024.jpg
31.03.2006 17:26 55.563 3D_005___1280_x_1024.jpg
31.03.2006 17:26 68.283 3D_014___1280_x_1024.jpg
31.03.2006 17:25 47.445 3D_028___1280_x_1024.jpg
26.03.2006 19:50 30.806 spupdsvc.log
26.03.2006 16:50 16.448 KB904942.log
26.03.2006 16:50 18.270 KB912945.log
26.03.2006 16:50 6.538 WMCSetup.log
26.03.2006 16:50 3.433 basecsp.log
26.03.2006 16:49 6.519 KB902344.log
26.03.2006 16:49 1.044.108 setupapi.log.0.old
26.03.2006 16:41 6.451 WGA.log
26.03.2006 13:33 316.640 WMSysPr9.prx
25.03.2006 19:07 190.128 setupact.log
18.03.2006 16:20 1.022 eReg.dat
12.03.2006 13:40 320 WINGROOV.PSF
12.03.2006 13:01 6.671 Midisport 1x1 Setup Log.txt
12.03.2006 13:00 724.992 iun6002.exe
08.03.2006 21:12 16.954 War3Unin.dat
08.03.2006 21:11 2.829 War3Unin.pif
08.03.2006 21:11 126.976 War3Unin.exe
18.02.2006 00:29 13.272 KB911927.log
18.02.2006 00:29 7.893 KB911564.log
18.02.2006 00:28 8.173 KB911565.log
18.02.2006 00:28 8.359 KB913446.log
13.02.2006 00:16 2.896 COM+.log
13.02.2006 00:10 16.501 KB900930.log
13.02.2006 00:10 16.318 KB887797.log
11.02.2006 20:04 1.847 Network File Monitor Light.ini
06.02.2006 17:34 745 CoD.INI


Verzeichnis von C:\

01.05.2006 13:44 0 sys.txt
01.05.2006 13:44 12.129 system.txt
01.05.2006 13:43 777 systemtemp.txt
01.05.2006 13:42 101.845 system32.txt
01.05.2006 13:05 1.073.270.784 hiberfil.sys
01.05.2006 13:05 1.610.612.736 pagefile.sys
01.05.2006 12:18 578.560 Installer.exe
01.05.2006 12:18 48.190 VSL02.exe
26.04.2006 19:38 889.037 rlst.log
22.04.2006 15:43 13.030 PDOXUSRS.NET
13.04.2006 22:39 1.328 FSUIPC_reg.bin
13.04.2006 22:00 37 TO.PS1
10.04.2006 15:24 1.529.532 FSUIPC.zip
09.04.2006 13:45 1.502.218 pcproxy-1.1.1.zip
09.04.2006 13:11 23.959.159 sb_3_0_4.zip
03.04.2006 19:35 194.933 rlst.log.1
01.04.2006 21:43 709.166 rlst.log.2
01.04.2006 21:20 1.059.462 rlst.log.3
01.04.2006 20:46 1.059.181 rlst.log.4
01.04.2006 20:12 1.059.223 rlst.log.5
31.03.2006 19:38 920.244 SynergyInstaller-1.3.0.exe
31.03.2006 17:59 354 boot.ini
30.03.2006 23:35 255.380 treeinfo.wc
30.03.2006 23:15 4.088 c.obj
30.03.2006 00:04 0 FileIn.Cns
30.03.2006 00:04 0 FileOut.Cns
29.03.2006 23:27 392.929 rlst.log.6
29.03.2006 23:16 1.058.697 rlst.log.7
18.03.2006 09:37 483 Verknpfung mit Train Simulator an 192.168.0.5.lnk
17.03.2006 22:39 5.138 test.apk
08.03.2006 16:46 1.788.409 WARCRAFT.3.101.MYTH.NOCD.ZIP
08.03.2006 16:39 18.719.393 TFTmini.rar
07.03.2006 18:41 752.284 WoW-1.9.4.5086-to-0.10.0.5140-deDE-downloader.exe
05.03.2006 13:22 984.741 atc_manual.pdf
05.03.2006 13:21 700.869 approach_lesson.zip
04.03.2006 18:09 1.610.774 MAF_ServicePack1.exe
04.03.2006 14:51 1.596.472 LHA Piloten-Handbuch 4[1]. Ausgabe-pdf.zip
19.02.2006 13:14 1.075 deltaStartup.log

Lg Peter
Dieser Beitrag wurde am 01.05.2006 um 13:45 Uhr von peterus editiert.
Seitenanfang Seitenende
01.05.2006, 13:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [jaLCDs] C:\Programme\jalcds\jalcds.exe wait
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard15.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad15.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname15.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzed029YYAT_ZNfox000

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\l80ulid9180.dll

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 13:48
peterus
Member

Themenstarter

Beiträge: 36
#7 Und hier als letzters noch die data:

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.11.2001 18:42 325 AxisCamControl.inf
15.11.2001 18:40 221.184 AxisCamControl.ocx
08.11.2001 11:59 192.512 CamCli.dll
14.07.2005 18:28 365 f3initialsetup1.0.0.15.inf
18.08.1999 09:54 180.224 ijl11.dll
10.11.2005 15:05 876 jinstall-1_5_0_06.inf
03.11.2005 21:24 495 LegitCheckControl.inf
30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx
26.05.2005 05:19 293 muweb.inf
27.08.2005 14:30 5.065 swflash.inf

die anderen sind noch oben dabei
Seitenanfang Seitenende
01.05.2006, 13:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\Programme\jalcds\jalcds.exe
C:\WINDOWS\system32\kernel1.exe
C:\WINDOWS\Downloaded Program Files\ijl11.dll
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\keyboard151.dat
C:\WINDOWS\keyboard161.dat
C:\WINDOWS\newname16.exe
C:\WINDOWS\mousepad16.exe
C:\WINDOWS\keyboard16.exe
C:\WINDOWS\Installer.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\newname15.exe
C:\WINDOWS\teller2.chk
C:\WINDOWS\mousepad15.exe
C:\WINDOWS\keyboard15.exe
C:\Installer.exe
C:\VSL02.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C: ..hier posten

dann sehen wir weiter..................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 14:02
peterus
Member

Themenstarter

Beiträge: 36
#9 Ich habe da mal ne kleine zwischenfrage:

Der AntiVir schreit mal nicht mehr das er den Trojaner gefunden hat, aber der ZoneAlarm schreit aufeinmal bei einer Date names: ibserver.exe diese will auf ip: 0.0.0.0:3050 zugreifen, ich drücke mal auf Deny.
weißt du was das ist?
ich werde jetzt mal weitertun mit dem Avenger
Peter
Seitenanfang Seitenende
01.05.2006, 14:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 wir sind erst am Beginn der Reinigung...erst mal alles runter, was ich sehen kann.
dann beginnen die Virenscanns ;)

ibserver.exe ..nicht zulassen !

poste den report vom avenger+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 14:29
peterus
Member

Themenstarter

Beiträge: 36
#11 So habe das mit dem Avenger jetzt gemacht, das Log File:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\abwukttx

*******************

Script file located at: \??\C:\WINDOWS\sldgddur.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\jalcds\jalcds.exe deleted successfully.
File C:\WINDOWS\system32\kernel1.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\ijl11.dll deleted successfully.
File C:\WINDOWS\WindowsUpdate.log deleted successfully.
File C:\WINDOWS\keyboard151.dat deleted successfully.
File C:\WINDOWS\keyboard161.dat deleted successfully.
File C:\WINDOWS\newname16.exe deleted successfully.
File C:\WINDOWS\mousepad16.exe deleted successfully.
File C:\WINDOWS\keyboard16.exe deleted successfully.
File C:\WINDOWS\Installer.exe deleted successfully.
File C:\WINDOWS\newname.dat deleted successfully.
File C:\WINDOWS\newname15.exe deleted successfully.
File C:\WINDOWS\teller2.chk deleted successfully.
File C:\WINDOWS\mousepad15.exe deleted successfully.
File C:\WINDOWS\keyboard15.exe deleted successfully.
File C:\Installer.exe deleted successfully.
File C:\VSL02.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hier die neue Hijack file:

Logfile of HijackThis v1.99.1
Scan saved at 14:28:58, on 01.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\TRIXX\TRIXX.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\onlineeye pro\onlineeye.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Shutdown4U\Shutdown4U.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\WinTV\Ir.exe
E:\Programme\BOINC\boincmgr.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\GetRight\getright.exe
E:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\IM2\bin\im2.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Allzeit Atomzeit\Atomzeit.exe
C:\Programme\Allzeit Zeitsignal\Zeitsignal.exe
E:\Programme\xampp\filezillaftp\filezillaserver.exe
E:\Programme\Borland\InterBase\bin\ibguard.exe
E:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Synergy\synergys.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\vmnetdhcp.exe
E:\Programme\xampp\apache\bin\Apache.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\BOINC\boinc.exe
E:\Programme\BOINC\projects\predictor.scripps.edu\mfoldB125_4.28_windows_intelx86.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PETERB~1\LOKALE~1\Temp\Rar$EX00.547\HijackThis.exe

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TRIXX] "E:\Programme\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VersionCheck] "C:\Programme\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [OnlineTime] "c:\programme\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shutdown4U] C:\Programme\Shutdown4U\Shutdown4U.exe -t -s
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: IM2.lnk = C:\Programme\IM2\bin\im2.exe
O4 - Startup: Verknüpfung mit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe
O4 - Startup: Verknüpfung mit Zeitsignal.lnk = C:\Programme\Allzeit Zeitsignal\Zeitsignal.exe
O4 - Startup: WinMySQLadmin.lnk = E:\Programme\xampp\mysql\bin\winmysqladmin.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: BOINC Manager.lnk = E:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133627733656
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.243.185.195/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C47744EF-BF13-4BFD-ADDE-B9F13747A403}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - E:\Programme\xampp\apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - E:\Programme\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - E:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - E:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - E:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Synergy Server - Unknown owner - C:\Programme\Synergy\synergys.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - E:\Programme\xampp\service.exe

Peter
UND?
Dieser Beitrag wurde am 01.05.2006 um 15:04 Uhr von peterus editiert.
Seitenanfang Seitenende
01.05.2006, 16:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Fixe mit dem HijackThis:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

PC neustarten

**
deinstalliere -> MyWebSearch

**
und loesche:
C:\Programme\jalcds

Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 17:08
peterus
Member

Themenstarter

Beiträge: 36
#13 C:\Programme\jalcds
Das Programm ist nichts böses, ich weiß was das ist.
Das ist ein ganz normales Programm zum Anzeigen von Daten auf LCD Displays, auser wenn du (oder wer auch immer sagt) das es gefärlich ist.

So bin jetzt mit allem Fertig.
Beim neustart des Rechners hat er mir gerade noch eine schöne Fehlermeldung rübergeworfen:

Zitat

RUNDLL
Fehler beim Laden von usb496.dat
Das angegebene Modul wurde nicht gefunden.
Wo bekomme ich jetzt das Log file für dich her?
Peter
Dieser Beitrag wurde am 01.05.2006 um 18:56 Uhr von peterus editiert.
Seitenanfang Seitenende
01.05.2006, 21:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 hast du gefixt ?
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
solltest du nicht fixen....
Schau mal, was schief gelaufen ist.... oder hat Counterspy es geleoscht...glaube ich aber nicht.

hast du schon mit Counterspy gescannt ?

schau im HijackThis, ob
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
noch vorhanden ist und schau auch, ob du usb496.dat auf dem rechner findest.

mein Problem..ich weiss nicht, ob es malware ist oder nicht...
die fehlermeldung wird verschwinden, wenn du usb496.dat loeschst.....und auch im HijackThis fixt...
ich hatte es nicht fixen lassen, weil ich es nicht zuordnen konnte ....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2006, 21:33
peterus
Member

Themenstarter

Beiträge: 36
#15 Also,
es ist noch drinnen also nicht gefixt.
Als Datei gibt es sie nicht mehr!
Ich lass es mal so, weiß auch nicht weiter.

Mit Counterspy habe ich mal gescannt, aber wie stelle ich da jetzt das Log file rein? wo finde ich das?
oder soll ich eine neue HjiackThis file reinstellen?
LgPeter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123