trojaner TR/Dldr.FFZ.55

#0
08.05.2006, 17:57
Member

Beiträge: 93
#1 hiiiiiiiilfe krieg das blöde vieh net weg!
vor ein paar tagen hatte ich ganz viele davon un danach stürzte mir der rechner dauernd ab bis er dann noch nicht mehr mal hochladen wollte!
next day gings wida aber seitdem hab ich tägl 2 davon, als zb a0024667.exe oda a0024807.exe drauf!
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende
08.05.2006, 18:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo

arbeite das bitte ab und poste die logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2006, 23:47
Member

Themenstarter

Beiträge: 93
#3 schönen guten nabend!

also vor ein paar tagen wurden ca 10 der viecher lokalisiert, ich hab sie entfernt, aba tag später waren wida 4 drauf und der pc stürzte ständig ab bis dann gar nix mehr ging und ich ihn noch nicht einmal mehr hochfahren konnte!!
nach einer nacht und vielen resets, kopfzerbrechen un verzweiflung konnt ich ihn doch hochfahren und nach einem scan wurden 2 trojaner dateien entdeckt
C:\system volume information\_restore {0d0c58e9-5084-4263-8356-5417080d82d0}\rp15\a0024667.exe
die letzte warA0024807.exe
und seit her hab ich täglich neue dateien drauf!!

so hier sind die benötigten logs!
..ich hoff dass mir noch zu helfen ist :} !!

Logfile of HijackThis v1.99.1
Scan saved at 20:52:09, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 ()

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R3 - URLSearchHook: (no name) - {529EA956-862F-8D8D-1E00-C5787E64734D} - zantu.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Serviceprocess] JAguAr.exe
O4 - HKLM\..\Run: [trycrt] typeconf.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [new32] SysEntry.exe
O4 - HKCU\..\Run: [newbreed] PasswdMon.exe
O4 - HKCU\..\Run: [mozilla-text] PrcIdle.exe

O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88D1E12-FBB1-4672-9E27-AB6BD378540C}: NameServer = 85.255.116.88 85.255.112.189
O17 - HKLM\System\CS1\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189
O17 - HKLM\System\CS2\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189
O17 - HKLM\System\CS3\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

so hier nr.1:
Datentr„ger in Laufwerk C: ist System

Verzeichnis von C:\WINDOWS\system32

04.05.2006 12:12 654.111 filesafer23.exe
30.04.2006 22:37 2.206 wpa.dbl
27.04.2006 13:53 51.247 csphz.exe
27.04.2006 13:53 51.247 csrhl.exe
27.04.2006 13:53 51.247 csirg.exe
27.04.2006 13:53 51.247 csmnh.exe

26.03.2006 05:16 311.604 perfh009.dat
26.03.2006 05:16 39.992 perfc009.dat
26.03.2006 05:16 48.156 perfc007.dat
26.03.2006 05:16 316.594 perfh007.dat
26.03.2006 05:16 723.744 PerfStringBackup.INI
25.03.2006 11:14 113.376 FNTCACHE.DAT
03.03.2006 03:13 1.740 d3d8caps.dat
26.02.2006 20:22 36.734 OggDSuninst.exe
23.02.2006 18:29 1.852 d3d9caps.dat
12.02.2006 15:31 16.832 amcompat.tlb
12.02.2006 15:31 23.392 nscompat.tlb
12.02.2006 15:03 176.167 rmoc3260.dll
12.02.2006 15:03 5.632 pndx5032.dll
12.02.2006 15:03 6.656 pndx5016.dll
12.02.2006 15:03 278.528 pncrt.dll
12.02.2006 14:45 7.006 jupdate-1.5.0_06-b05.log
12.02.2006 14:08 261 $winnt$.inf
12.02.2006 13:56 2.951 CONFIG.NT
12.02.2006 13:51 488 WindowsLogon.manifest
12.02.2006 13:51 488 logonui.exe.manifest
12.02.2006 13:51 749 wuaucpl.cpl.manifest
12.02.2006 13:51 749 cdplayer.exe.manifest
12.02.2006 13:51 749 sapi.cpl.manifest
12.02.2006 13:51 749 ncpa.cpl.manifest
12.02.2006 13:51 749 nwc.cpl.manifest
12.02.2006 13:45 21.740 emptyregdb.dat
12.02.2006 13:38 0 h323log.txt

und die nr. 2:
Verzeichnis von C:\DOKUME~1\name\LOKALE~1\Temp

08.05.2006 14:22 32.768 ~DFFA0B.tmp
08.05.2006 14:22 32.768 ~DF979F.tmp
2 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 3.480.788.992 Bytes frei
..nr. 3:
Verzeichnis von C:\WINDOWS

08.05.2006 14:23 1.526.198 WindowsUpdate.log
08.05.2006 14:22 0 0.log
08.05.2006 14:21 157 wiadebug.log
08.05.2006 14:21 50 wiaservc.log
08.05.2006 14:20 2.048 bootstat.dat
07.05.2006 17:51 0 nsreg.dat
07.05.2006 17:51 2.266 mozver.dat
07.05.2006 17:20 275 lexstat.ini
07.05.2006 15:21 69 NeroDigital.ini
07.05.2006 14:40 155 winamp.ini
27.04.2006 13:55 6.400 balloon.wav
25.04.2006 22:34 1.981.494 ACD Wallpaper.bmp
02.04.2006 18:55 173.243 setupact.log
23.03.2006 13:22 191 cdplayer.ini
16.03.2006 22:03 32 CD_Start.INI
10.03.2006 19:03 242.301 setupapi.log
27.02.2006 23:13 65.962 wmsetup.log
26.02.2006 20:23 316.640 WMSysPr9.prx
23.02.2006 18:25 1.166 DirectX.log
21.02.2006 02:44 299 wincmd.ini
19.02.2006 13:58 338.272 iis6.log
19.02.2006 13:58 96.215 comsetup.log
19.02.2006 13:58 57.630 ntdtcsetup.log
19.02.2006 13:58 122.704 tsoc.log
19.02.2006 13:58 13.070 tabletoc.log
19.02.2006 13:58 4.566 imsins.log
19.02.2006 13:58 14.424 ocmsn.log
19.02.2006 13:58 136.962 ocgen.log
19.02.2006 13:58 18.419 MedCtrOC.log
19.02.2006 13:58 13.181 msgsocm.log
19.02.2006 13:58 251.312 FaxSetup.log
19.02.2006 13:57 45.022 netfxocm.log
19.02.2006 13:57 89.672 msmqinst.log
12.02.2006 18:44 1.374 imsins.BAK
12.02.2006 15:42 400 ODBC.INI
12.02.2006 15:33 379 wmsetup10.log
12.02.2006 14:54 163.840 LgxSetup.exe
12.02.2006 14:51 342 SchedLgU.Txt
12.02.2006 14:36 488 win.ini
12.02.2006 14:32 194.560 the_fog_screensaver_pc.scr
12.02.2006 14:32 606.848 flashax.exe
12.02.2006 14:32 12.288 impborl.dll
12.02.2006 14:14 829 OEWABLog.txt
12.02.2006 14:13 739.868 setuplog.txt
12.02.2006 14:10 8.192 REGLOCS.OLD
12.02.2006 13:56 0 control.ini
12.02.2006 13:55 4.161 ODBCINST.INI
12.02.2006 13:51 749 WindowsShell.Manifest
12.02.2006 13:46 1.023 sessmgr.setup.log
12.02.2006 13:44 36 vb.ini
12.02.2006 13:44 37 vbaddin.ini
12.02.2006 13:44 133 DtcInstall.log
12.02.2006 13:39 200 cmsetacl.log
12.02.2006 13:35 0 Sti_Trace.log
12.02.2006 13:28 1.348 regopt.log
12.02.2006 13:28 231 system.ini
12.02.2006 13:24 0 setuperr.log

un der 4.:

Verzeichnis von C:\

08.05.2006 23:01 0 sys.txt
08.05.2006 22:57 7.067 system.txt
08.05.2006 22:48 335 systemtemp.txt
08.05.2006 22:39 96.334 system32.txt
08.05.2006 14:19 268.034.048 hiberfil.sys
08.05.2006 14:19 402.653.184 pagefile.sys
12.02.2006 17:46 26.771 SDSSetup.log
12.02.2006 14:54 122 LgxUser.dic
12.02.2006 13:56 0 IO.SYS
12.02.2006 13:56 0 CONFIG.SYS
12.02.2006 13:56 0 AUTOEXEC.BAT
12.02.2006 13:56 0 MSDOS.SYS
12.02.2006 13:38 211 boot.ini
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
29.08.2002 14:00 4.952 bootfont.bin
16 Datei(en) 671.121.772 Bytes
0 Verzeichnis(se), 3.480.776.704 Bytes frei

bitte rette meinen rechner!!!!! und meine nächte!!! verzweifelte grüsse
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende
09.05.2006, 00:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 wicky

ich brauche noch dieses Log...dann beginnt die Reinigung ;)

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 01:05
Member

Themenstarter

Beiträge: 93
#5 ..das hat nicht funktioniert..
hab die bis juni aktuelle testversion geladen und folgendes wurde gefunden:
csirg.exe
filesafer23.exe
wbemtest.exe
aba jezt find ichs nirgendwo!!
... ;) ..
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende
09.05.2006, 10:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wicky

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\csirg.exe
C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe
C:\WINDOWS\system32\csphz.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\csrhl.exe
C:\WINDOWS\system32\csmnh.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav

PC neustarten

du musst nach dem Neustart eine neue Internetverbindung erstellen, denn die jetzige geht in die Ukraine.....

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {529EA956-862F-8D8D-1E00-C5787E64734D} - zantu.dll (file missing)
O4 - HKLM\..\Run: [Serviceprocess] JAguAr.exe
O4 - HKLM\..\Run: [trycrt] typeconf.exe
O4 - HKCU\..\Run: [new32] SysEntry.exe
O4 - HKCU\..\Run: [newbreed] PasswdMon.exe
O4 - HKCU\..\Run: [mozilla-text] PrcIdle.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88D1E12-FBB1-4672-9E27-AB6BD378540C}: NameServer = 85.255.116.88 85.255.112.189
O17 - HKLM\System\CS1\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189
O17 - HKLM\System\CS2\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189
O17 - HKLM\System\CS3\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189
PC neustarten

**
erstelle eine neue Internetverbindung

**
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

**
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

**
Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 12:56
Member

Themenstarter

Beiträge: 93
#7 wunderschönen guten tag!

ähm..also ich bin echt n laie³ was das ganze angeht un tut mir echt leid aba ich hab da echt ne blöde frage..
wie meinste das mit:
du musst nach dem Neustart eine neue Internetverbindung erstellen, denn die jetzige geht in die Ukraine.....
?? wie erstellen? meinen browser neu einstellen? ??
damit hatte ich schon ma echte probleme..deswegen frag ich so blöd..sorry!
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende
09.05.2006, 14:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189

Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
nach dem Booten kann es sein, dass die Internetverbindung sich automatisch neu (und hoffentlich korrekt) erstellt

oder:

manuell mit den Zugangsdaten des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.

Info:
http://virus-protect.org/artikel/spyware/favset.html
http://virus-protect.org/artikel/spyware/favset1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2006, 22:12
Member

Themenstarter

Beiträge: 93
#9 haloooo da bin ich wida!!
killbox und reboot erledigt bin mir aba net sicher ob ich alles richtig gemacht hab.. hier erstma killbox log:

Pocket Killbox version 2.0.0.648
Running on Windows XP as name(Administrator)
was started @ Dienstag, Mai 09, 2006, 8:59 PM

Killbox Closed(Exit) @ 9:04:19 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Jochen(Administrator)
was started @ Dienstag, Mai 09, 2006, 9:04 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\csirg.exe


# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\filesafer23.exe


# 3 [Delete on Reboot]
Path = C:\WINDOWS\system32\howiper.exe


# 4 [Delete on Reboot]
Path = C:\WINDOWS\system32\howiper.exe


# 5 [Delete on Reboot]
Path = C:\WINDOWS\system32\csphz.exe


# 6 [Delete on Reboot]
Path = C:\WINDOWS\system32\favset.exe


# 7 [Delete on Reboot]
Path = C:\WINDOWS\system32\csrhl.exe


# 8 [Delete on Reboot]
Path = C:\WINDOWS\system32\csmnh.exe


# 9 [Delete on Reboot]
Path = C:\WINDOWS\rdt.ini


# 10 [Delete on Reboot]
Path = C:\WINDOWS\balloon.wav


I Rebooted @ 9:16:01 PM
Killbox Closed(Exit) @ 9:16:18 PM
__________________________________________________

..weil die internetverbindung unberührt war, auch die dns bei eigenschaften des internetprot ist nicht auf automatisch beziehen eingestellt!
und dann hab ich folgendes entdeckt:
C:\!KILLBOX\baloon.wav
C:\!KILLBOX\csmnh.exe
C:\!KILLBOX\csphz.exe
C:\!KILLBOX\csrhl.exe
soll ich die manuell löschen?
danke für die gedult mit mir..lg!
__________
will die weltherrschaft an mich reissen!!
Dieser Beitrag wurde am 09.05.2006 um 22:25 Uhr von wicky editiert.
Seitenanfang Seitenende
09.05.2006, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ja, leere die killbox.

dann:

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

**
Log vom Silentrunner
http://virus-protect.org/silentrunner.html

+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 12:14
Member

Themenstarter

Beiträge: 93
#11 guten taaag!
sorry bei mir dauert alles so lange..hab ja auch wenig zeit un dann musste ich ja alles neu einrichten..

also..hab die killbox geleert und mit hijackthis die malewareeinträge gelöscht
dann hab ich mit ewido online gescannt, report:
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@ivwbox[1].txt
Risk: Medium

Name: Adware.CoolWebSearch
Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj
Risk: Medium

Name: Adware.CoolWebSearch
Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CLSID
Risk: Medium

Name: Adware.CoolWebSearch
Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CurVer
Risk: Medium

Name: Adware.CoolWebSearch
Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj.1
Risk: Medium

Name: Downloader.Agent.uj
Path: [496] VM_00D60000
Risk: High

Name: Downloader.Agent.uj
Path: [520] VM_00BF0000
Risk: High

Name: Downloader.Agent.uj
Path: [1180] VM_009D0000
Risk: High

Name: Downloader.Agent.uj
Path: [1828] VM_00D20000
Risk: High

Name: Downloader.Agent.uj
Path: [1840] VM_007B0000
Risk: High

Name: Downloader.Agent.uj
Path: [1852] VM_00390000
Risk: High

Name: Downloader.Agent.uj
Path: [2292] VM_00880000
Risk: High

Name: Downloader.Agent.uj
Path: [3588] VM_009B0000
Risk: High

Name: Downloader.Agent.uj
Path: [3672] VM_00890000
Risk: High

Name: Downloader.Agent.uj
Path: [3692] VM_00840000
Risk: High

Name: Downloader.Agent.uj
Path: [2620] VM_01140000
Risk: High

Name: Downloader.Agent.uj
Path: [2744] VM_00860000
Risk: High

Name: Downloader.Agent.uj
Path: [2920] VM_00BB0000
Risk: High

Name: TrackingCookie.Ivwbox
Path: :mozilla.8:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.9:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.10:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.11:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.12:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.13:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.14:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt
Risk: Medium

Name: Adware.SBSoft
Path: C:\Programme\Microsoft AntiSpyware\Quarantine\02F01BF8-5151-4E32-B177-3FD321\4BA119CE-96E3-4655-9712-C291CA
Risk: Medium

Name: Trojan.DNSChanger.cv
Path: C:\WINDOWS\system32\hgqhp.exe
Risk: High


konnte aba nix davon löschen un
hab ewido runtergeladen un nochma gescannt, report:

--------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 02:28:01, 10.05.2006
+ Report-Checksumme: 6AD10976

+ Scanergebnis:

[496] VM_00D60000 -> Downloader.Agent.uj : Fehler beim Säubern
[520] VM_00BF0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1180] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1828] VM_00D20000 -> Downloader.Agent.uj : Fehler beim Säubern
[1840] VM_007B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1852] VM_00390000 -> Downloader.Agent.uj : Fehler beim Säubern
[2292] VM_00880000 -> Downloader.Agent.uj : Fehler beim Säubern
[3588] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[3672] VM_00890000 -> Downloader.Agent.uj : Fehler beim Säubern
[3692] VM_00840000 -> Downloader.Agent.uj : Fehler beim Säubern
[2620] VM_01140000 -> Downloader.Agent.uj : Fehler beim Säubern
[2744] VM_00860000 -> Downloader.Agent.uj : Fehler beim Säubern
[2920] VM_00BB0000 -> Downloader.Agent.uj : Fehler beim Säubern
[728] VM_00850000 -> Downloader.Agent.uj : Fehler beim Säubern
C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Programme\Microsoft AntiSpyware\Quarantine\02F01BF8-5151-4E32-B177-3FD321\4BA119CE-96E3-4655-9712-C291CA -> Adware.SBSoft : Gesäubert mit Backup


::Report Ende

un hab heut morgen nomma gescannt
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:31:01, 10.05.2006
+ Report-Checksumme: 5FAB8E65

+ Scanergebnis:

[496] VM_00D60000 -> Downloader.Agent.uj : Fehler beim Säubern
[520] VM_00BF0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1180] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1720] VM_007B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1728] VM_00D20000 -> Downloader.Agent.uj : Fehler beim Säubern
[2092] VM_00390000 -> Downloader.Agent.uj : Fehler beim Säubern
[2276] VM_00880000 -> Downloader.Agent.uj : Fehler beim Säubern
[2384] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2408] VM_00890000 -> Downloader.Agent.uj : Fehler beim Säubern
[2544] VM_00840000 -> Downloader.Agent.uj : Fehler beim Säubern
[2468] VM_01140000 -> Downloader.Agent.uj : Fehler beim Säubern
[2724] VM_00860000 -> Downloader.Agent.uj : Fehler beim Säubern
[540] VM_00BB0000 -> Downloader.Agent.uj : Fehler beim Säubern
[4092] VM_00850000 -> Downloader.Agent.uj : Fehler beim Säubern


::Report Ende
aba mach wohl alles falsch oda was is da fürn fehler beim säubern??
dann hab ich ich silentrunner geholt und das funktioniert nicht,meldung:
der zugriff auf windows script host wurde für diesen computer deaktiviert !
un ich weiss ma wida net weiter...hiiilfe....
verzweifelte grüsse wicky..


..!!..
hossaaa!! habs doch noch geschafft!

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"TVgenial" = "C:\Programme\TVgenial\TVgenial.exe -d" [null data]
"updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"gcasServ" = ""C:\Programme\Microsoft AntiSpyware\gcasServ.exe"" [MS]
"CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Lexmark X1100 Series" = ""C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"" ["Lexmark International, Inc."]
"Siemens SmartSync - ScheduleSync" = "C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [empty string]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{83A30C59-3A50-49E6-9DAF-4923C4EA3C23}\(Default) = (no title provided)
-> {HKLM...CLSID} = "WebSpeechBHO Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll" ["G DATA Software AG"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {HKLM...CLSID} = "CloneCD Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{ED65AC21-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device"
-> {HKLM...CLSID} = "Siemens Device"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AC22-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device ContextMenuHandler"
-> {HKLM...CLSID} = "Siemens Device ContextMenuHandler"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AC23-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens SX1 PropertySheetHandler"
-> {HKLM...CLSID} = "Siemens Device PropertySheetHandler"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
-> {HKLM...CLSID} = "Microsoft.AntiSpyware.ShellExecuteHook.1"
\InProcServer32\(Default) = "C:\Programme\Microsoft AntiSpyware\shellextension.dll" [MS]
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csmmx.exe" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\ACD Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\THE_FO~1.SCR" (the_fog_screensaver_pc.scr) ["ScreenTime Media"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{1CE4DE72-7FCC-4EB8-8F66-AE6A56A0A54D}\
"ButtonText" = "WebSpeech"
"MenuText" = "Seite/Markierung vorlesen (WebSpeech)"
"CLSIDExtension" = "{0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C}"
-> {HKLM...CLSID} = "WebSpeechCmd Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll" ["G DATA Software AG"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 80 seconds, including 8 seconds for message boxes)

..so un der hijackthis log

Logfile of HijackThis v1.99.1
Scan saved at 14:26:10, on 10.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TVgenial\TVgenial.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

..so hoffe dass ich alles richtig gemacht hab..
lg wicky
__________
will die weltherrschaft an mich reissen!!
Dieser Beitrag wurde am 10.05.2006 um 14:33 Uhr von wicky editiert.
Seitenanfang Seitenende
10.05.2006, 14:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wicky

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
kopiere in die killbox; + loeschen

C:\WINDOWS\system32\csmmx.exe

**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

**
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

**
sanne mit ewido im abgesicherten Modus

--------------------------------------------------------------------

**
boote wieder in den normalmodus und poste den scanreport vom ewido

**
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 16:20
Member

Themenstarter

Beiträge: 93
#13 ..also fixme.reg hb ich aufm desktop aba als ich mit der killbox in den abgesicherten mod. starten wollte ist mir das (wie immer !) misslungen und er ist in n standardmodus gefahren .. :.(
und jezt wollt ich das wiederholen aba wenn ich auf :do you want to reboot now klick kommt folgende meldung:
PendingFileRenameOperatins Registry Data has been removed by external prozess
..und ich weiss net was gemeint is... :.( :.( :.(


und leider geht der
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
net mehr !!!!
die seite gibts wohl noch aba kein fixwareout!!

lg wicky
__________
will die weltherrschaft an mich reissen!!
Dieser Beitrag wurde am 10.05.2006 um 19:56 Uhr von wicky editiert.
Seitenanfang Seitenende
10.05.2006, 20:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 **
wenn diese meldung bei der Killbox kommt...starte du den PC neu..

**
FixWareout:..der Link ist tot seit heute ;)

**
Trend Micro Anti-Spyware for the Web -> poste den scanbericht...oder berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2006, 22:36
Member

Themenstarter

Beiträge: 93
#15 schönen guten abend sabina!

..klingt so als hätt ich wohl was gutes verpasst mit fixwareout..?!.mist..

aufjedenfall hab ich die datei mit killbox gelöscht un neu gestartet aba iob dus glaubst oda net ich krieg den abgesicherten modus nicht hin!! so blöd bin ich auch wida net!
deswegen hab ich auch die fixme.reg nicht in den register eingefügt..
?soll ich das im normalmodus machen??
so un hab grade mit trendmicro antispy gescannt..und leider war der bericht net zu kopieren aba ich hab dann damit folgendes damit gelöscht:
Spyware_KEYL.BossEverywere:
HKGR\.dsv\
HKLM\SOFTWARE\Classes\.dsv
Freeloader_UnspyPC: HKCU\Software\UnspyPC\ (der hat ja am anfang meinen pc abstürzen lassen!)
TSPY_Favadd.AA: 12stk!!!
unter C:\dokum un eistell\nameuser\favoriten\SpywareUninstall\\(......)..url

diese ordner unter n favoriten liessen sich danach auch nicht öffnen un ich hab sie manuell gelöscht..
..mannnnnn ich hoffe das hat bald n ende...und ich daaaaaaaaaaaanke dir eeeeeeeeeeeeeeeeecht für deine hilfe und geduld!!!
lg wicky
__________
will die weltherrschaft an mich reissen!!
Dieser Beitrag wurde am 13.05.2006 um 01:05 Uhr von wicky editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: