nvsvcd.exe smss.exe mscfg.dll - brauche noch immer hilfe

#31 danke dir sabina und lg, - sorry, wurde etwas lang...

das hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 00:06:32, on 25.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\T-Mobile\GPRSpeed Plus Client\NGSpawner.exe
C:\Programme\T-Mobile\GPRSpeed Plus Client\gprspeed_plus.exe
c:\Programme\WIDCOMM\Bluetooth Software\btsendto_explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcrobatInfo.exe
D:\download 2006\programme\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GPRSpeed Plus Client.lnk = C:\Programme\T-Mobile\GPRSpeed Plus Client\NGSpawner.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146581661551
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146581960771
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4754/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4010CCC8-BF25-4AC9-AEFA-EAC3D2030872}: NameServer = 217.237.150.188 217.237.150.97
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: ZPRHIE - Unknown owner - C:\DOKUME~1\horst\LOKALE~1\Temp\ZPRHIE.exe (file missing)

zum hijack log: hier fällt mir eigentlich nur die letzte exe datei auf, die kann ich auch in diesem ordner nicht finden...

datfindbat:

1.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\WINDOWS\system32

24.05.2006 16:25 1.158 wpa.dbl
10.05.2006 10:42 100 LuResult.txt
09.05.2006 14:11 382.026 perfh009.dat
09.05.2006 14:11 53.770 perfc009.dat
09.05.2006 14:11 393.086 perfh007.dat
09.05.2006 14:11 902.476 PerfStringBackup.INI
09.05.2006 14:11 64.848 perfc007.dat
09.05.2006 14:10 245.536 FNTCACHE.DAT
09.05.2006 14:09 90 spupdwxp.log
02.05.2006 23:10 53.248 pxhpinst.exe
24.04.2006 20:42 8.464 sporder.dll
19.04.2006 16:28 64.243 jupdate-1.5.0_06-b05.log
19.04.2006 10:04 86.016 javaw.exe
19.04.2006 10:04 86.016 java.exe
19.04.2006 10:04 126.976 javaws.exe
19.04.2006 10:04 34.304 javacpl.cpl
30.03.2006 11:30 10.752 pxwma.dll
30.03.2006 11:30 53.248 pxinsa64.exe
30.03.2006 11:30 103.936 pxinsi64.exe
30.03.2006 11:30 108.544 pxcpyi64.exe
30.03.2006 11:30 56.832 pxcpya64.exe
18.01.2006 13:05 57.344 avsda.dll

2.

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\DOKUME~1\horst\LOKALE~1\Temp

25.05.2006 00:01 16.384 Perflib_Perfdata_888.dat
25.05.2006 00:01 285 eud1.htm
24.05.2006 18:06 0 C24B0.dmp
24.05.2006 17:48 16.384 ~DFA5A9.tmp
24.05.2006 16:32 285 eud16.htm
5 Datei(en) 33.338 Bytes
0 Verzeichnis(se), 3.096.510.464 Bytes frei

3.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\WINDOWS

25.05.2006 00:01 1.037 win.ini
24.05.2006 17:54 6.096 ModemLog_Bluetooth Fax Modem.txt
24.05.2006 17:54 6.092 ModemLog_Bluetooth Modem.txt
24.05.2006 17:54 4.234 ModemLog_Agere Systems AC'97 Modem.txt
24.05.2006 17:53 159 wiadebug.log
24.05.2006 17:53 2.048 bootstat.dat
24.05.2006 17:53 0 0.log
24.05.2006 17:52 32.520 SchedLgU.Txt
24.05.2006 17:52 1.127.909 WindowsUpdate.log
24.05.2006 17:52 50 wiaservc.log
19.05.2006 17:26 227.835 setupact.log
18.05.2006 17:46 116 NeroDigital.ini
13.05.2006 22:43 698.935 setupapi.log
13.05.2006 19:08 356 sguvffws.txt
13.05.2006 16:25 14.056 mozver.dat
13.05.2006 15:53 4.678.894 ntbtlog.txt
11.05.2006 11:58 26 Lic.xxx
09.05.2006 14:10 1.864 OEWABLog.txt
09.05.2006 14:10 28.687 spupdsvc.log
09.05.2006 14:10 866.958 setuplog.txt
09.05.2006 14:10 731 DtcInstall.log
09.05.2006 14:09 314.404 wmsetup.log
09.05.2006 14:09 316.640 WMSysPr9.prx
09.05.2006 14:09 2.258 medctroc.Log
09.05.2006 14:06 441.715 svcpack.log
09.05.2006 14:06 1.355 imsins.log
09.05.2006 14:06 14.950 ocmsn.log
09.05.2006 14:06 139.782 comsetup.log
09.05.2006 14:06 525.081 iis6.log
09.05.2006 14:06 19.240 tabletoc.log
09.05.2006 14:06 86.970 ntdtcsetup.log
09.05.2006 14:06 189.719 tsoc.log
09.05.2006 12:04 19.580 msgsocm.log
09.05.2006 12:04 397.923 FaxSetup.log
09.05.2006 12:04 232.887 ocgen.log
09.05.2006 12:04 67.377 netfxocm.log
09.05.2006 12:04 137.596 msmqinst.log
09.05.2006 11:57 200 cmsetacl.log
09.05.2006 11:55 3.085 sessmgr.setup.log
02.05.2006 23:22 261.990 DirectX.log
26.04.2006 10:13 11.030 COOL.INI
26.04.2006 10:13 7.289 coolkb99.ini
26.04.2006 10:13 0 COOLSYS.INI
25.04.2006 23:58 133 VobEdit.INI
25.04.2006 13:35 19 transcode.INI
20.04.2006 23:21 971 PVAStrumento.ini
20.04.2006 16:30 32 CD_Start.INI
14.04.2006 10:39 9.216 Thumbs.db
13.04.2006 19:22 0 VideodeLuxe.INI
16.03.2006 22:28 26 Recode.INI
16.03.2006 16:38 924 @SEARCH@.GIF
11.03.2006 19:29 231 system.ini

4.

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 3171-1DEA

Verzeichnis von C:\

25.05.2006 00:05 0 sys.txt
25.05.2006 00:05 11.528 system.txt
25.05.2006 00:04 485 systemtemp.txt
25.05.2006 00:03 106.950 system32.txt
24.05.2006 17:53 805.306.368 pagefile.sys
24.05.2006 16:38 9.508 hpfr3600.log
13.05.2006 21:09 2.856 avenger.txt
09.05.2006 11:56 211 BOOT.INI
09.05.2006 11:45 251.184 ntldr
09.05.2006 11:45 47.564 NTDETECT.COM
23.02.2003 10:25 0 MSDOS.SYS
23.02.2003 10:25 0 IO.SYS
23.02.2003 09:40 512 BOOTSECT.DOS
23.02.2003 09:33 77 PRELOAD.AAA
29.08.2002 12:00 4.952 bootfont.bin
15 Datei(en) 805.742.195 Bytes
0 Verzeichnis(se), 3.096.510.464 Bytes frei





das stuff-log

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe"="C:\\Programme\\T-Mobile\\GPRSpeed Plus Client\\gprspeed_plus.exe:*:Enabled:NettGain1100_C"
"C:\\Programme\\Macromedia\\Dreamweaver MX 2004\\Dreamweaver.exe"="C:\\Programme\\Macromedia\\Dreamweaver MX 2004\\Dreamweaver.exe:*:Enabledreamweaver MX 2004"

#32 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

ZPRHIE

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
--------------------------------------------------------------------

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#33 hi sabina, herzlichen dank dir! hier sind die logs:

registry search
das programm ist danach abgestürzt...

und noch eine frage: wo um himmels willen ist dieser zprhie her? ist das noch eine nebenwirkung vom alten befall? o mein gott...(so viele einträge)

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 25.05.2006 11:04:57 for strings:
; 'zprhie'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPRHIE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPRHIE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPRHIE\0000]
"Service"="ZPRHIE"
"DeviceDesc"="ZPRHIE"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE]
; Contents of value:
; c:\dokume~1\horst\lokale~1\temp\zprhie.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,68,6f,72,73,74,5c,4c,4f,\
4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,5a,50,52,48,49,45,2e,65,78,65,00
"DisplayName"="ZPRHIE"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE\Enum]
"0"="Root\\LEGACY_ZPRHIE\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPRHIE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPRHIE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPRHIE\0000]
"Service"="ZPRHIE"
"DeviceDesc"="ZPRHIE"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPRHIE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPRHIE]
; Contents of value:
; c:\dokume~1\horst\lokale~1\temp\zprhie.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,68,6f,72,73,74,5c,4c,4f,\
4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,5a,50,52,48,49,45,2e,65,78,65,00
"DisplayName"="ZPRHIE"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPRHIE\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPRHIE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPRHIE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPRHIE\0000]
"Service"="ZPRHIE"
"DeviceDesc"="ZPRHIE"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPRHIE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPRHIE]
; Contents of value:
; c:\dokume~1\horst\lokale~1\temp\zprhie.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,68,6f,72,73,74,5c,4c,4f,\
4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,5a,50,52,48,49,45,2e,65,78,65,00
"DisplayName"="ZPRHIE"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPRHIE\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPRHIE\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPRHIE\Enum]
"0"="Root\\LEGACY_ZPRHIE\\0000"

[HKEY_USERS\S-1-5-21-4036164967-3685698554-1260207112-1004\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="zprhie"

; End Of The Log...


service filter log

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Mai 25, 2006 11:08:05


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Adobe LM Service
Display Name: Adobe LM Service
Start Mode: Manual
Start Name: LocalSystem
Description: AdobeLM ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 648
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 3
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: Echtzeit Virenschutz durch H+BEDV AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 660
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #5
Service Name: Macromedia Licensing Service
Display Name: Macromedia Licensing Service
Start Mode: Manual
Start Name: LocalSystem
Description: Provides authentication services for Macromedia ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\macromedia shared\service\macromedia licensing.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: SmcService
Display Name: Sygate Personal Firewall
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sygate\spf\smc.exe
State: Running
Process ID: 1280
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #7
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{ff91bf88-72ff-489c-a8b0-0cc6d45050df}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #8
Service Name: Symantec Core LC
Display Name: Symantec Core LC
Start Mode: Disabled
Start Name: LocalSystem
Description: Symantec Core ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\symantec shared\ccpd-lc\symlcsvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: ZPRHIE
Display Name: ZPRHIE
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\dokume~1\horst\lokale~1\temp\zprhie.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 92 Win32 services on this machine.
9 were unrecognized.

Script Execution Time: 2,105469 seconds.

wie ich symantec las hab ich nachgeschaut, den ordner c:\programme\gemeinsame dateien\symantec hab ich bei der deinstallation von norton manuell gelöscht...ich kann ihn auch eigentlich nicht finden?!

#34 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPRHIE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPRHIE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPRHIE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPRHIE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPRHIE]

------

Fixe mit HijackThis:

O23 - Service: ZPRHIE - Unknown owner - C:\DOKUME~1\horst\LOKALE~1\Temp\ZPRHIE.exe (file missing)

-----

dann scann noch mal mit: Registry Search by Bobbi Flekman - ZPRHIE
__________
MfG Sabina

rund um die PC-Sicherheit

#35 hi sabina,

danke für deine hilfe, aber meine unendliche geschichte scheint net zu gehen...

das hinzufügen zur reg. hat nicht funktioniert. wegen fehlerhafter datei (?)...

noch ideen?

lg h

ps: mit hijack gefixt

#36 versuche es noch mal mit einer fix.reg (ich habe oben die reg veraendert)
__________
MfG Sabina

rund um die PC-Sicherheit

#37 hi sabina,

danke dir, aber leider war auch das nicht erfolgreich.

soll ich manuell an der registry etwas ändern? oder aber doch die recovery cd meines laptops verwenden

lg h

#38 die reg funktioniert, du hast sie nicht richtig erstellt. (siehe meine Anweisungen)

Zitat

fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an

-----------------------------------------------------------------------------------------------
Start - Ausfuehren - regedit

bearbeiten - suchen - ZPRHIE

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPRHIE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ZPRHIE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ZPRHIE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZPRHIE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZPRHIE


Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#39 hi sabina,

danke dir für deine geduld, wobei ich ausnahmsweise widersprechen darf: ich habe die fixme.reg zweimal ausprobiert, und es ging nicht ("alle dateien" waren ausgewählt) und jetzt noch komischer: mit der suchfunktion konnte ich ZPRHIE in der registry nicht finden (bis auf den einen treffer s.u.).
habe sie einzeln eingegeben/aufgerufen und gelöscht.

jetzt das neue log:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 25.05.2006 18:04:54 for strings:
; 'zprhie'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-4036164967-3685698554-1260207112-1004\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="zprhie"

; End Of The Log...

diesen treffer habe ich auch als einziges suchergebnis in der registry (s.o.) gefunden...

lg h

#40 dann hat meine reg-Datei doch funktioniert
ich hatte sie naemlich ausprobiert... und das Ergebnis ist ja auch zu sehen.
es duerfte wieder alles o.k. sein.
mache noch einen Onlinescan mit Kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#41 hi sabina,

danke dir. (zur .reg-datei:die schlüssel habe ich manuell gelöscht, das komische war, dass sie unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZPRHIE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ZPRHIE...u.s.w. zu finden waren, aber nicht über die suche) - vielleicht aber versteh ich gerade nur bahnhof

scanne gerade mit einer testversion kaspersky. scheint alles ok zu sein.

die frage ist jetzt nur, was ich mit den drei ordnern

C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\is-35L3A.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\is-A0G1L.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\is-UOIT5.tmp

machen soll? die lassen sich nicht löschen. wenn ich die c-platte defragmentieren möchte, meldet er auch ich solle chkdsk ausführen. soll ich das machen, und versuchen die ordner (ebenso wie der es_setup) im dos modus zu löschen? oder würden diese ordner nur bei einer neuen formatierung verschwinden?

lg h

#42 wenn die testversion von kaspersky nichts mehr findet, dann ist es gut.
die temp-Dateien, und es_setup ...wenn sie von kaspersky nicht beanstandet werden, lasse sie .
ich denke, du solltest erst mal einige Zeit sehen, wie es laueft und erst, wenn du denkst, dass der Rechner weiterhin kompromitiert ist.... die recovery-cd anwenden.
vorher sichere dann alle relevanten Dateien
Falls es dazu kommen sollte, melde dich wieder, ich lasse den Thread geoeffnet.
__________
MfG Sabina

rund um die PC-Sicherheit

#43 hi sabina,

der vollständigkeit halber noch meine neuigkeiten: kav 6.0 hat nix mehr gefunden. ewido anti malware schon. cookies und aber auch noch mscfg spyware.

habe schliesslich mit chkdsk die c: platte gecheckt. und danach waren dann auch die temp ordner und der es_setup ordner weg.

vielleicht hält es ja.

und: ohne deine hilfe hätte ich gar nichts geschafft. und viel gelernt hab ich auch. D A N K E !!!

und falls es wen interessiert: niemals auf exe dateien klicken (nicht mal versehentlich ...

lg h

ps: habe mit der regsearch aus interesse nach mscfg gesucht hier das log: (habe ich noch immer grund zur sorge?)

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.05.2006 11:44:16 for strings:
; 'mscfg'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\mscfg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\mscfg.DLL]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfg.Cfg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfg.Cfg\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfg.Cfg\CurVer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfg.Cfg\CurVer]
@="mscfg.Cfg.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfg.Cfg.1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfg.Cfg.1\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{76DBD084-7CCA-4DDA-BAC0-5DE4E4EA97BC}\1.0]
@="mscfg 1.0 Type Library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{76DBD084-7CCA-4DDA-BAC0-5DE4E4EA97BC}\1.0\0\win32]
@="C:\\WINDOWS\\mscfg.dll"

[HKEY_USERS\S-1-5-21-4036164967-3685698554-1260207112-1004\Software\Google\NavClient\1.1\History]
; Contents of value:
; ø°ad
"\"mscfg.dll\""=hex:f8,b0,61,44
; Contents of value:
; e¹ad
"mscfg.dll"=hex:65,b9,61,44
; Contents of value:
; $Õad
"mscfg"=hex:24,d5,61,44

; End Of The Log...