Home » Spyware & Browser Hijacker Support Forum » browser popups lassen sich nicht abstellen » Themenansicht

browser popups lassen sich nicht abstellen
#0
15.05.2006, 02:01
MPS69
...neu hier

Beiträge: 3
#1 S.O.S.!
auch ich werde ständig von sich selbst öffnenden browserfenstern genervt. nun habe ich dieses forum gefunden und nach der lektüre einiger beiträge von explorer zu mozilla gewechselt, hijack, spybot und cleanup gedownloaded... und trotzdem öffnen sich heiter weiter browser...-tabs.

Hijack-auswertung habe ich durchgeführt: die einzigen unbekannten Prozesse gehören zu meinem Drucker/Scanner. Nur mit O23 Security Accont manager kann ich nichts anfangen.

Was soll ich noch machen?

Hier mein aktuelles hijack-log:
_____________________________

Logfile of HijackThis v1.99.1
Scan saved at 01:48:02, on 15.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINNT\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Hijack\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Hijack\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140142137781
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: UNIMODEM - C:\WINNT\system32\dnn8015ue.dll
O23 - Service: 46703 - Unknown owner - \\88.134.76.200\print$\eraseme_66014.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Microsoft NetWork FireWall Services - Unknown owner - NetServices.exe (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Security Account Manager (SAMSvc) - Unknown owner - C:\WINNT\system32\SAMSvc.exe (file missing)
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINNT\services.exe (file missing)
Seitenanfang Seitenende
15.05.2006, 13:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 MPS69

1.
Look2Me-Destroyer V1.0.5
anwenden
http://virus-protect.org/l2mfix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2006, 16:06
MPS69
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Sabina!
Habe 1 - 4 ausgeführt ->

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 60BD-508C

Verzeichnis von C:\WINNT\system32

15.05.2006 07:13 233.876 guard.tmp_tobedeleted
09.05.2006 20:55 235.656 MQGINA.DLL
04.05.2006 06:26 5.818.784 MRT.exe
01.05.2006 15:52 234.387 ElnClass.Dll
26.04.2006 15:28 234.387 LPPRMON.DLL
25.04.2006 18:30 234.761 MNVCP60.DLL
23.04.2006 16:57 15.072 spmsg.dll
23.04.2006 11:20 235.730 IPETCOMM.DLL
23.04.2006 10:00 153.872 msdtcui.dll
23.04.2006 10:00 52.496 mtxclu.dll
23.04.2006 10:00 123.152 mtxoci.dll
23.04.2006 10:00 20.240 xolehlp.dll
23.04.2006 10:00 1.202.448 msdtctm.dll
23.04.2006 10:00 96.016 msdtclog.dll
23.04.2006 10:00 740.112 msdtcprx.dll
17.04.2006 12:26 233.806 EUBTEG.DLL
12.04.2006 22:23 24.576 rmoc3260.dll
12.04.2006 22:23 176.167 rmocx.dll
10.04.2006 04:48 234.272 HIK3CT32.DLL
07.04.2006 23:43 234.272 EPENTLOG.DLL
06.04.2006 14:33 236.673 WBNTRUST.DLL
05.04.2006 12:07 287 spupdw2k.log
05.04.2006 11:57 30 iisperf.txt
05.04.2006 08:44 16.384 Perflib_Perfdata_3ec.dat
03.04.2006 18:52 774 assert.log
03.04.2006 18:41 100.352 dfrg.msc
03.04.2006 00:54 16.384 Perflib_Perfdata_3f4.dat
02.04.2006 15:33 235.259 WANINET.DLL
23.03.2006 08:53 2.386.192 SHELL32.DLL
22.03.2006 17:46 2.702.336 MSHTML.DLL
21.03.2006 15:36 1.339.392 SHDOCVW.DLL
20.03.2006 18:16 151.218 UninstIPP.isu
18.03.2006 11:51 21.264 verclsid.exe
06.03.2006 01:40 300.378 perfh009.dat
06.03.2006 01:40 38.036 perfc009.dat
06.03.2006 01:40 289.156 perfh007.dat
06.03.2006 01:40 46.232 perfc007.dat
06.03.2006 01:40 678.314 PerfStringBackup.INI
03.03.2006 15:46 498.176 MSTIME.DLL
03.03.2006 15:46 462.848 URLMON.DLL
03.03.2006 12:24 235.264 LVCA.DLL
27.02.2006 14:25 44.032 MSIDENT.DLL
27.02.2006 14:25 50.688 INETRES.DLL
27.02.2006 14:25 229.376 MSOEACCT.DLL
27.02.2006 13:31 596.480 INETCOMM.DLL
27.02.2006 13:31 91.136 MSOERT2.DLL
24.02.2006 23:49 126.976 msdart.dll
24.02.2006 23:49 24.576 odbcbcp.dll
24.02.2006 23:49 61.440 ODBCCR32.dll
24.02.2006 23:49 61.440 ODBCCU32.dll
24.02.2006 23:49 98.304 ODBCCP32.dll
24.02.2006 23:49 385.024 sqlsrv32.dll
24.02.2006 23:49 204.800 odbc32.dll
24.02.2006 23:49 61.440 DBnetlib.dll
24.02.2006 23:49 131.072 msorcl32.dll
24.02.2006 15:20 582.144 WININET.DLL
24.02.2006 15:20 236.032 IEPEERS.DLL
24.02.2006 14:24 192.512 DXTRANS.DLL
22.02.2006 11:12 1.838.576 dtcsetup.exe
18.02.2006 21:41 49.152 cdrtc.dll
18.02.2006 21:41 45.056 cdral.dll
17.02.2006 22:50 22.752 spupdsvc.exe
13.02.2006 18:16 973.056 FNTCACHE.DAT

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 60BD-508C

Verzeichnis von C:\DOKUME~1\ERIKAU~1.PET\LOKALE~1\Temp

15.05.2006 15:46 16.384 ~DF2DE4.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 38.287.265.792 Bytes frei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 60BD-508C

Verzeichnis von C:\WINNT

15.05.2006 15:47 835 ModemLog_Kommunikationskabel zwischen zwei

Computern.txt
15.05.2006 15:46 1.223 ODBC.INI
15.05.2006 15:46 1.612.936 WindowsUpdate.log
15.05.2006 15:45 49 transp.gif
15.05.2006 15:44 32.632 SchedLgU.Txt
15.05.2006 04:41 26 Lic.xxx
14.05.2006 05:06 3.418 mozver.dat
14.05.2006 03:29 697 win.ini
13.05.2006 22:04 0 nsreg.dat
12.05.2006 00:03 55.808 ALCFDRTM.VER
11.05.2006 08:02 1.844 EventSystem.log
11.05.2006 00:01 18.819 KB913580.log
11.05.2006 00:00 6.335 updspapi.log
02.05.2006 05:50 573 lexstat.ini
30.04.2006 23:54 231 system.ini
20.04.2006 20:19 2.780 ModemLog_Bluetooth Modem.txt
20.04.2006 20:19 2.784 ModemLog_Bluetooth Fax Modem.txt
13.04.2006 00:02 1.391 imsins.BAK
13.04.2006 00:02 8.877 KB912812-IE6SP1-20060322.182418.log
13.04.2006 00:01 16.235 KB908531.log
13.04.2006 00:01 7.612 KB911567-OE6SP1-20060316.165634.log
13.04.2006 00:00 29.668 MDAC27SP1-KB911562-x86-DEU.log
10.04.2006 16:56 386 SIERRA.INI
05.04.2006 13:57 3.481 spupdsvc.log
05.04.2006 12:27 4.355 KB911565.log
05.04.2006 12:27 3.094 Q828026.log
05.04.2006 12:04 0 setupact.log
05.04.2006 12:04 0 setuperr.log
05.04.2006 12:03 344 msmqprop.log
05.04.2006 12:03 194 sptsupd.log
03.04.2006 10:48 1.114.376 ShellIconCache
02.04.2006 16:29 309 is-IUFJI.lst
02.04.2006 16:29 13.380 is-IUFJI.msg
02.04.2006 16:29 666.624 is-IUFJI.exe
26.03.2006 22:04 59 pp.enc
19.02.2006 22:22 33 rnetp.dll
19.02.2006 22:22 53 vobncv.dat
18.02.2006 21:41 57.344 uneng.exe

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 60BD-508C

Verzeichnis von C:\

15.05.2006 15:52 0 sys.txt
15.05.2006 15:51 7.197 system.txt
15.05.2006 15:51 307 systemtemp.txt
15.05.2006 15:49 100.022 system32.txt
15.05.2006 15:45 267.894.784 hiberfil.sys
15.05.2006 15:45 400.556.032 pagefile.sys
15.05.2006 04:41 2 AVPCallback.log
11.01.2006 15:45 4 dllimp_regmsft985
10.12.2005 01:22 54 Default.PLS
26.11.2005 09:17 50 AUTOEXEC.BAT
27.08.2005 02:06 247.880 AUTO.pst
27.08.2005 02:06 207.364 AUTO.pat
09.06.2005 12:52 3 TCPCheckResult.txt
08.07.2004 12:09 32 csb.log
08.07.2004 11:21 191 mwmlog.txt
08.07.2004 11:03 0 MSDOS.SYS
08.07.2004 11:03 0 IO.SYS
08.07.2004 11:03 0 CONFIG.SYS
08.07.2004 10:59 192 boot.ini
20.06.2003 14:00 150.528 arcldr.exe
20.06.2003 14:00 163.840 arcsetup.exe
20.06.2003 14:00 216.096 ntldr
20.06.2003 14:00 34.724 NTDETECT.COM
23 Datei(en) 669.579.302 Bytes
0 Verzeichnis(se), 38.287.204.352 Bytes frei


ServiceFilter 1.1
by rand1038

Microsoft Windows 2000 Professional
Version: 5.0.2195 Service Pack 4
Mai 15, 2006 15:57:25


---> Begin Service Listing <---

Unknown Service # 1
Service Name: 33647
Display Name: 33647
Start Mode: Disabled
Start Name: LocalSystem
Description: 33647...
Service Type: Share Process
Path: \\88.134.40.84\print$\eraseme_68156.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: 44451
Display Name: 44451
Start Mode: Disabled
Start Name: LocalSystem
Description: 44451...
Service Type: Share Process
Path: \\88.134.77.117\print$\eraseme_76066.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 3
Service Name: 46703
Display Name: 46703
Start Mode: Manual
Start Name: LocalSystem
Description: 46703...
Service Type: Share Process
Path: \\88.134.76.200\print$\eraseme_66014.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 584
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 5
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: AntiVir PersonalEdition Classic ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 608
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 6
Service Name: Ati HotKey Poller
Display Name: Ati HotKey Poller
Start Mode: Auto
Start Name: LocalSystem
Description: Ati HotKey ...
Service Type: Own Process
Path: c:\winnt\system32\ati2evxx.exe
State: Running
Process ID: 344
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: ATI Smart
Display Name: ATI Smart
Start Mode: Auto
Start Name: LocalSystem
Description: ATI ...
Service Type: Own Process
Path: c:\winnt\system32\ati2sgag.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: btwdins
Display Name: Bluetooth Service
Start Mode: Auto
Start Name: LocalSystem
Description: Bluetooth ...
Service Type: Own Process
Path: c:\programme\sitecom\bluetooth software\bin\btwdins.exe
State: Running
Process ID: 628
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 9
Service Name: EPSONStatusAgent2
Display Name: EPSON Printer Status Agent2
Start Mode: Auto
Start Name: LocalSystem
Description: EPSON Printer Status ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\epson\ebapi\sagent2.exe
State: Running
Process ID: 676
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 10
Service Name: LightScribeService
Display Name: LightScribeService Direct Disc Labeling Service
Start Mode: Auto
Start Name: LocalSystem
Description: LightScribeService Direct Disc Labeling ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe
State: Running
Process ID: 728
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 11
Service Name: Microsoft NetWork FireWall Services
Display Name: Microsoft NetWork FireWall Services
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft NetWork FireWall ...
Service Type: Own Process
Path: netservices.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 12
Service Name: OutpostFirewall
Display Name: Outpost Firewall Service
Start Mode: Auto
Start Name: LocalSystem
Description: Outpost Firewall ...
Service Type: Own Process
Path: c:\programme\agnitum\outpost firewall\outpost.exe /service
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: SAMSvc
Display Name: Security Account Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Security Account ...
Service Type: Own Process
Path: "c:\winnt\system32\samsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 14
Service Name: Windows Update Service
Display Name: Microsoft Windows Update Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Windows Update ...
Service Type: Own Process
Path: "c:\winnt\services.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 72 Win32 services on this machine.
14 were unrecognized.

Script Execution Time: 1,78125 seconds.


Logfile of HijackThis v1.99.1
Scan saved at 15:59:44, on 15.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINNT\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\notepad.exe
C:\WINNT\system32\cidaemon.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Hijack\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200

Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax

Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame

Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched]

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe"

/min
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost

Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost

Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search &

Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Hijack\HijackThis.exe

/startupscan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &

Destroy\TeaTimer.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\Sitecom\Bluetooth

Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft

Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk =

C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Senden an &Bluetooth -

C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Outpost Firewall Pro Quick Tune -

{44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost

Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 -

{CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth

Software\btsendto_ie.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.c

ab?1140142137781
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: 46703 - Unknown owner - \\88.134.76.200\print$\eraseme_66014.exe (file

missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA

GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. -

C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) -

VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON

CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINNT\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) -

Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Microsoft NetWork FireWall Services - Unknown owner -

NetServices.exe (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. -

C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Security Account Manager (SAMSvc) - Unknown owner -

C:\WINNT\system32\SAMSvc.exe (file missing)
O23 - Service: Microsoft Windows Update Service (Windows Update Service) -

Unknown owner - C:\WINNT\services.exe (file missing)
Seitenanfang Seitenende
16.05.2006, 00:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 MPS69

im Grunde solltest du formatieren...die Reinigung wird lange dauern...........
http://www.sophos.de/virusinfo/analyses/w32tilebotdl.html

--------------------------------------------------------------------------

Start > Ausfuehren --> reinschreiben --> cmd.exe

und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\eraseme_66014*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\eraseme_76066*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\eraseme_68156*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\netservices*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\dllimp_regmsft985*.*" > c:\find.txt & start notepad c:\find.txt

---------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINNT\system32\guard.tmp_tobedeleted
C:\WINNT\system32\MQGINA.DLL
C:\WINNT\system32\ElnClass.Dll
C:\WINNT\system32\LPPRMON.DLL
C:\WINNT\system32\MNVCP60.DLL
C:\WINNT\system32\IPETCOMM.DLL
C:\WINNT\system32\HIK3CT32.DLL
C:\WINNT\system32\EPENTLOG.DLL
C:\WINNT\system32\WBNTRUST.DLL
C:\WINNT\system32\WANINET.DLL
c:\winnt\services.exe
c:\winnt\system32\samsvc.exe
c:\winnt\vobncv.dat
c:\winnt\uneng.exe
c:\dllimp_regmsft985.sys
c:\dllimp_regmsft985
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
poste das Log vom Avenger

**
scannen
http://www.symantec.com/avcenter/venc/data/w32.hllw.lovgate.g@mm.html

**
Families Cleaned by the Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/families.mspx

**
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft NetWork FireWall Services

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
-

in: "Enter search strings" (reinschreiben oder reinkopieren)

Security Account Manager

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft Windows Update Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

46703

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.05.2006, 14:53
MPS69
...neu hier

Themenstarter

Beiträge: 3
#5 omg! bedeutet das, dass mir jemand bei meiner arbeit zusehen kann? kann man festellen wer das ist, bzw welche software den wurm eingeschleppt hat? Am liebsten würde ich den rechner völlig neu aufbauen, aber das wird wohl noch mehr arbeit. Also versuche ich es lieber erstmal mit deiner hilfe. Vorab: ich kann dir über paypal erst anfnag juni etwas zukommen lassen.... die auto-open browserfenster sind übrigens seit deiner ersten antwort weg.danke!
spybot kann ein problem trotz mehrfachem neustart nicht beheben.

mfg
markus


1.)

Für

dir /s /a "c:\eraseme_66014*.*" > c:\find.txt & start notepad c:\find.txt
dir /s /a "c:\eraseme_76066*.*" > c:\find.txt & start notepad c:\find.txt
dir /s /a "c:\eraseme_68156*.*" > c:\find.txt & start notepad c:\find.txt
dir /s /a "c:\netservices*.*" > c:\find.txt & start notepad c:\find.txt

erscheint jeweils
- im dos-fenster: Datei nicht gefunden
- im editor: Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 60BD-508C
(sonst nichts)

Für
dir /s /a "c:\dllimp_regmsft985*.*" > c:\find.txt & start notepad c:\find.txt

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 60BD-508C

Verzeichnis von c:\

11.01.2006 15:45 4 dllimp_regmsft985
1 Datei(en) 4 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 4 Bytes
0 Verzeichnis(se), 38.296.563.712 Bytes frei

2.) Avenger liefert:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ymmdixrp

*******************

Script file located at: \??\C:\Program Files\qnafcmre.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINNT\system32\guard.tmp_tobedeleted deleted successfully.
File C:\WINNT\system32\MQGINA.DLL deleted successfully.
File C:\WINNT\system32\ElnClass.Dll deleted successfully.
File C:\WINNT\system32\LPPRMON.DLL deleted successfully.
File C:\WINNT\system32\MNVCP60.DLL deleted successfully.
File C:\WINNT\system32\IPETCOMM.DLL deleted successfully.
File C:\WINNT\system32\HIK3CT32.DLL deleted successfully.
File C:\WINNT\system32\EPENTLOG.DLL deleted successfully.
File C:\WINNT\system32\WBNTRUST.DLL deleted successfully.
File C:\WINNT\system32\WANINET.DLL deleted successfully.


File c:\winnt\services.exe not found!
Deletion of file c:\winnt\services.exe failed!

Could not process line:
c:\winnt\services.exe
Status: 0xc0000034



File c:\winnt\system32\samsvc.exe not found!
Deletion of file c:\winnt\system32\samsvc.exe failed!

Could not process line:
c:\winnt\system32\samsvc.exe
Status: 0xc0000034

File c:\winnt\vobncv.dat deleted successfully.
File c:\winnt\uneng.exe deleted successfully.


File c:\dllimp_regmsft985.sys not found!
Deletion of file c:\dllimp_regmsft985.sys failed!

Could not process line:
c:\dllimp_regmsft985.sys
Status: 0xc0000034

File c:\dllimp_regmsft985 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



3.)
symantec w32.lovgate@mm removal fix tool 1.1.9.6 habe ich laufen lassen: Es wurde nichts gefunden.

4.)
habe ich laufen lassen: Es wurde keine bösartige Software ermittelt.

5.)

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.05.2006 14:42:21 for strings:
; 'microsoft network firewall services'
; 'microsoft windows update service'
; '46703'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_46703]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_46703\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_46703\0000]
"Service"="46703"
"DeviceDesc"="46703"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_NETWORK_FIREW

ALL_SERVICES\0000]
"Service"="Microsoft NetWork FireWall Services"
"DeviceDesc"="Microsoft NetWork FireWall Services"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_UPDATE_SERVICE\00

00]
"DeviceDesc"="Microsoft Windows Update Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\46703]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\46703]
"DisplayName"="46703"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\46703\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\46703\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\46703\Enum]
"0"="Root\\LEGACY_46703\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Update Service]
"DisplayName"="Microsoft Windows Update Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_46703]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_46703\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_46703\0000]
"Service"="46703"
"DeviceDesc"="46703"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MICROSOFT_NETWORK_FIREW

ALL_SERVICES\0000]
"Service"="Microsoft NetWork FireWall Services"
"DeviceDesc"="Microsoft NetWork FireWall Services"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_UPDATE_SERVICE\00

00]
"DeviceDesc"="Microsoft Windows Update Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\46703]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\46703]
"DisplayName"="46703"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\46703\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Microsoft NetWork FireWall Services]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Microsoft NetWork FireWall Services]
"DisplayName"="Microsoft NetWork FireWall Services"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Microsoft NetWork FireWall Services\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Update Service]
"DisplayName"="Microsoft Windows Update Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_46703]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_46703\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_46703\0000]
"Service"="46703"
"DeviceDesc"="46703"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_NETWORK_FIR

EWALL_SERVICES\0000]
"Service"="Microsoft NetWork FireWall Services"
"DeviceDesc"="Microsoft NetWork FireWall Services"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_UPDATE_SERVIC

E\0000]
"DeviceDesc"="Microsoft Windows Update Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\46703]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\46703]
"DisplayName"="46703"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\46703\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\46703\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\46703\Enum]
"0"="Root\\LEGACY_46703\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Service]
"DisplayName"="Microsoft Windows Update Service"

; End Of The Log...
Seitenanfang Seitenende
16.05.2006, 23:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 MPS69

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_46703]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\46703]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_46703]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_46703]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_NETWORK_FIREWALL_SERVICES\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Microsoft NetWork FireWall Services]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_NETWORK_FIREWALL_SERVICES\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_UPDATE_SERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Update Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Update Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Service]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

----------------------------

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

------------------------------

poste dieses Log
http://virus-protect.org/registry_stuff.html

::
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1