Hartnäckige Trojaner und Dialer, wie z.B. Trojan-Downloader.Win32.Zlob.of

#1 Hallo zusammen,

auch mich hat es erwischt, war scheinbar unvorsichtig. Hatte wohl u.a. auch Spyware ala Spyfalcon und/oder Spywareguard auf dem rechner und habe jetzt trotz vehementen Einsatz von einigen Anti-Spyware Tools und Virenscanner noch einige Probleme, die ich nicht gelöst bekomme.

Hier ein Online-Scan von Kaspersky:

Friday, May 19, 2006 20:31:56
Betriebssystem: Microsoft Windows XP Professional, (Build 2600)
Version von Kaspersky On-line Scanner: 5.0.68.0
Letztes Update der Antiviren-Datenbanken: 19/05/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 195022


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen korrekt
Mail-Datenbanken untersuchen korrekt

Untersuchungsobjekt Ordner
C:\
D:\
E:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 38749
Die Untersuchung wurde vom Benutzer abgebrochen! 11
Infizierte Objekte gefunden 10
Verdächtige Objekte gefunden 2
Untersuchungszeit 7862 sec

Name des infizierten Objekts Virusname Last Action
C:\WINDOWS\system32\regperf.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.na skipped

C:\WINDOWS\system32\EGDHTML_1023.dll Infizierte Objekte: not-a-virusialer.Win32.E-Group.1023 skipped

C:\WINDOWS\system32\dcomcfg.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.oe skipped

C:\WINDOWS\system32\bundler_mpb1118.exe Infizierte Objekte: not-a-virus:AdWare.Win32.BargainBuddy.a skipped

C:\WINDOWS\system32\EGDHTML_1025.dll Infizierte Objekte: not-a-virusialer.Win32.E-Group.1025 skipped

C:\WINDOWS\system32\simpole.tlb Infizierte Objekte: Trojan-Downloader.Win32.Zlob.of skipped

C:\WINDOWS\Downloaded Program Files\setup.exe Infizierte Objekte: Trojan.Win32.Liech.c skipped

C:\WINDOWS\Downloaded Program Files\uloader.dll Infizierte Objekte: Trojan-Downloader.Win32.Xatl.c skipped

C:\Dokumente und Einstellungen\Pat\Lokale Einstellungen\Temp\nsiDA.exe Infizierte Objekte: not-a-virusialer.Win32.gen skipped

C:\Dokumente und Einstellungen\Pat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/12 May 2002 06:18 from robwunderlichlease try again.rtf Verdächtige Objekte: Exploit.HTML.Iframe.FileDownload skipped

C:\Dokumente und Einstellungen\Pat\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Mail MS Mail: 1 suspicious skipped

C:\System Volume Information\_restore{05F458D6-84B3-4347-967A-2BF93C295657}\RP514\A0149008.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.oj skipped

Scan was interrupted by user!

Und hier noch er Log von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 20:34:20, on 19.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Antivirus\navapsvc.exe
D:\Programme\Norton AntiVirus\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
D:\Programme\Norton AntiVirus\SymProxySvc.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Spyware Nuker 2004\swn2.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Webroot\Washer\wwDisp.exe
D:\a-squared\a2guard.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Pecki\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.netcologne.de:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Spyware Nuker] C:\Programme\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Window Washer] D:\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [a-squared] "D:\a-squared\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra 'Tools' menuitem: PopThis! Options... (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C3844CB-8A39-4AC9-BB24-9640EB2C37E8}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BC2EE9-FD49-440A-A344-BDC86379D2C6}: NameServer = 85.255.113.107 85.255.112.121

Wer hilft mir diese lästigen Schädlinge wieder los zu werden? Bin für jede Hilfe dankbar!!!

Apropos: was richten diese Dinger an? Geht da eine besondere Gefahr von aus, wie z.B. Passwordklau? Denke da mit Schrecken an mein Online-Banking....

#2 Pecki75

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip


-----------------

ist fuer mich.......

C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\EGDHTML_1023.dll
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\bundler_mpb1118.exe
C:\WINDOWS\system32\EGDHTML_1025.dll
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\Downloaded Program Files\setup.exe
C:\WINDOWS\Downloaded Program Files\uloader.dll
C:\Dokumente und Einstellungen\Pat\Lokale Einstellungen\Temp\nsiDA.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina, o.k. es geht los

1. LOG

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1172-18D9

Verzeichnis von C:\WINDOWS\system32

21.05.2006 23:45 65.184 OODBS.lor
21.05.2006 23:25 2.184 wpa.dbl
19.05.2006 11:41 392.432 perfh009.dat
19.05.2006 11:41 58.732 perfc009.dat
19.05.2006 11:41 405.448 perfh007.dat
19.05.2006 11:41 70.778 perfc007.dat
19.05.2006 11:41 828.320 PerfStringBackup.INI
15.05.2006 18:24 52 stdole3.tlb
12.05.2006 15:10 7.168 simpole.tlb
12.05.2006 15:10 66.048 dcomcfg.exe
12.05.2006 15:10 4.286 ot.ico
12.05.2006 15:10 4.286 ts.ico
02.05.2006 22:16 15.241 regperf.exe
29.03.2006 23:34 167.504 FNTCACHE.DAT
18.02.2006 12:44 5.618 jupdate-1.5.0_05-b05.log
31.01.2006 14:35 91.904 S32EVNT1.DLL
18.01.2006 14:06 57.344 avsda.dll

2. LOG

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1172-18D9

Verzeichnis von C:\DOKUME~1\Pecki\LOKALE~1\Temp

21.05.2006 23:47 32.768 ~DFB070.tmp
21.05.2006 23:46 203 jusched.log
15.05.2006 09:06 73 DFC5A2B2.TMP
3 Datei(en) 33.044 Bytes
0 Verzeichnis(se), 2.415.943.680 Bytes frei

3. LOG

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1172-18D9

Verzeichnis von C:\WINDOWS

21.05.2006 23:46 0 0.log
21.05.2006 23:46 2.048 bootstat.dat
21.05.2006 23:44 32.572 SchedLgU.Txt
19.05.2006 22:09 54.156 QTFont.qfn
19.05.2006 14:39 5.632 MKDEWE.TRN
19.05.2006 14:39 878 MKDEMSG.LOG
19.05.2006 13:55 1.442 COM+.log
19.05.2006 11:26 9.713 KB893803v2.log
19.05.2006 11:26 7.938 iis6.log
19.05.2006 11:26 1.374 imsins.log
19.05.2006 11:26 2.069 comsetup.log
19.05.2006 11:26 1.252 ntdtcsetup.log
19.05.2006 11:26 2.809 tsoc.log
19.05.2006 11:26 6.182 FaxSetup.log
19.05.2006 11:26 212 ocmsn.log
19.05.2006 11:26 2.480 ocgen.log
19.05.2006 11:26 302 msgsocm.log
19.05.2006 11:26 1.878 msmqinst.log
19.05.2006 11:24 8.776 setupapi.log
15.05.2006 18:33 1.110 winamp.ini
15.05.2006 15:29 971 ODBC.INI
11.05.2006 00:07 840 setupact.log
04.05.2006 00:21 259 system.ini
04.05.2006 00:21 1.344 win.ini
03.05.2006 22:34 1.409 QTFont.for
01.05.2006 19:35 40 nero.INI

4. LOG

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1172-18D9

Verzeichnis von C:\

21.05.2006 23:54 0 sys.txt
21.05.2006 23:53 6.810 system.txt
21.05.2006 23:53 385 systemtemp.txt
21.05.2006 23:51 106.519 system32.txt
21.05.2006 23:45 402.182.144 hiberfil.sys
21.05.2006 23:45 603.979.776 pagefile.sys
19.05.2006 15:28 27.220.626 Xp Repair Pro 2006 v3.1.6 Incl keyg*hier nicht* And Patch-Heretic.rar
13.05.2006 23:38 173 _arm_errors.log
15.04.2006 19:38 1.838 EyeCandyLog.txt
18.02.2006 13:13 15 mandant.ini
14.02.2006 18:55 22.016 Thumbs.db
24.11.2005 21:46 23.011 SDSSetup.log
26.02.2005 14:29 90.344 TAX_05.isu
20.02.2005 20:05 404 log.txt

Hier der Log von der Echo-Bat:

10)DPF????
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 1172-18D9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.05.2002 19:55 <DIR> .
25.05.2002 19:55 <DIR> ..
17.03.2003 22:52 21.048 setup.exe
27.03.2003 18:29 41.984 acab.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
29.03.2003 00:08 60.480 sexdirekt.exe
22.04.2003 00:39 <DIR> CONFLICT.3
14.06.2004 12:11 4.022 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
27.04.2003 23:39 <DIR> CONFLICT.4
05.04.2002 10:30 57.344 uloader.dll
27.04.2003 23:45 <DIR> CONFLICT.5
05.04.2002 10:42 221 uloader.inf
28.04.2003 00:03 <DIR> CONFLICT.6
11.05.2003 20:36 <DIR> CONFLICT.7
18.05.2003 16:45 <DIR> CONFLICT.8
22.05.2003 23:07 <DIR> CONFLICT.9
28.03.2004 01:00 2.390 catalog.dat
28.03.2004 01:00 860.773 virscan1.dat
13.09.2002 10:56 144 QTPlugin.inf
28.03.2004 01:00 527.010 virscan2.dat
28.03.2004 01:00 143.516 virscan3.dat
18.06.2003 20:01 <DIR> CONFLICT.10
20.06.2003 20:12 <DIR> CONFLICT.11
12.01.2004 09:49 885.248 EPScontrol.dll
12.01.2004 09:44 529 EPScontrol.inf
28.03.2004 01:00 316.434 virscan4.dat
20.07.2002 11:10 72.824 player.exe
28.03.2004 01:00 70.684 virscan5.dat
28.03.2004 01:00 374.721 virscan6.dat
19.09.2000 10:49 244 videox.inf
28.03.2004 01:00 1.042.847 virscan7.dat
28.03.2004 01:00 1.042.850 virscan8.dat
28.03.2004 01:00 1.179.040 virscan9.dat
28.03.2004 01:00 224 zdone.dat
28.03.2004 01:00 106.244 virscan.inf
28.03.2004 01:00 82.208 scrauth.dat
28.03.2004 01:00 453 tinf.dat
28.03.2004 01:00 148 tinfidx.dat
28.03.2004 01:00 1.957 tinfl.dat
28.03.2004 01:00 33.706 tscan1.dat
28.03.2004 01:00 1.179 tscan1hd.dat
28.03.2004 01:00 899 symaveng.inf
28.03.2004 01:00 8.137 symaveng.cat
28.03.2004 01:00 2.715 tcdefs.dat
28.03.2004 01:00 27.307 tcscan7.dat
28.03.2004 01:00 47.222 tcscan8.dat
25.04.2002 19:25 520 ConferenceRoom Java Client.osd
28.03.2004 01:00 127.304 tcscan9.dat
28.03.2004 01:00 5.382 v.grd
28.03.2004 01:00 2.227 v.sig
15.03.2004 18:29 626 avsniff.inf
29.03.2004 20:07 2.072 vscanmsx.dat
28.03.2004 01:00 119.976 naveng32.dll
15.03.2004 18:28 6.854 navapi.vxd
15.03.2004 18:28 208.896 navapi32.dll
15.03.2004 18:31 197.760 avsniff.dll
28.03.2004 01:00 32 virscant.dat
15.03.2004 18:32 160.928 rufsi.dll
28.03.2004 01:00 652.456 navex32a.dll
15.03.2004 18:29 241 CabSA.inf
28.03.2002 16:05 1.268 erma.inf
02.09.2005 11:05 578 kavwebscan.inf
13.08.2004 18:02 539 EPUWALcontrol.inf
13.08.2004 18:10 894.544 EPUWALcontrol.dll
15.11.2002 20:18 <DIR> CONFLICT.1
15.11.2002 20:35 <DIR> CONFLICT.2
10.11.2004 21:30 1.348 AktiveSekurity.inf
16.04.2002 14:03 483.328 PWActiveXImgCtl.dll
28.11.2002 20:36 8.761.636 QuickTimeInstallCache.qdat
13.07.2000 16:21 57.816 ratechk.dll
13.07.2000 16:21 86.488 bvinetio.dll
13.08.2002 16:48 596 TPS108.inf
60 Datei(en) 18.793.018 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.3

22.04.2003 00:39 <DIR> .
22.04.2003 00:39 <DIR> ..
27.03.2003 18:27 42.496 acab.dll
1 Datei(en) 42.496 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.4

27.04.2003 23:39 <DIR> .
27.04.2003 23:39 <DIR> ..
27.03.2003 18:30 41.984 acab.dll
1 Datei(en) 41.984 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.5

27.04.2003 23:45 <DIR> .
27.04.2003 23:45 <DIR> ..
27.03.2003 18:30 41.984 acab.dll
1 Datei(en) 41.984 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.6

28.04.2003 00:03 <DIR> .
28.04.2003 00:03 <DIR> ..
27.03.2003 18:25 42.496 acab.dll
1 Datei(en) 42.496 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.7

11.05.2003 20:36 <DIR> .
11.05.2003 20:36 <DIR> ..
27.03.2003 18:27 42.496 acab.dll
1 Datei(en) 42.496 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.8

18.05.2003 16:45 <DIR> .
18.05.2003 16:45 <DIR> ..
27.03.2003 18:25 42.496 acab.dll
1 Datei(en) 42.496 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.9

22.05.2003 23:07 <DIR> .
22.05.2003 23:07 <DIR> ..
27.03.2003 18:28 41.984 acab.dll
1 Datei(en) 41.984 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.10

18.06.2003 20:01 <DIR> .
18.06.2003 20:01 <DIR> ..
27.03.2003 18:18 42.496 acab.dll
1 Datei(en) 42.496 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.11

20.06.2003 20:12 <DIR> .
20.06.2003 20:12 <DIR> ..
08.05.2003 17:41 41.984 acab.dll
1 Datei(en) 41.984 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1

15.11.2002 20:18 <DIR> .
15.11.2002 20:18 <DIR> ..
08.04.2003 21:14 60.480 sexdirekt.exe
27.03.2003 18:27 42.496 acab.dll
2 Datei(en) 102.976 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.2

15.11.2002 20:35 <DIR> .
15.11.2002 20:35 <DIR> ..
27.03.2003 18:27 42.496 acab.dll
1 Datei(en) 42.496 Bytes

Anzahl der angezeigten Dateien:
72 Datei(en) 19.318.906 Bytes
35 Verzeichnis(se), 2.415.837.184 Bytes frei

Sind ja schon ein paar lustige Gesellen dabei, wie z.B. sexdirect.exe, na toll...wo kommt die denn her

Hoffe jedenfalls, das hilft weiter. Und vielen dank schonmal!!!

#4 Pecki75

Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der Registry beifuegen

*) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\system32\bundler_mpb1118.exe
C:\WINDOWS\system32\EGDHTML_1023.dll
C:\WINDOWS\system32\EGDHTML_1025.dll
C:\Dokumente und Einstellungen\Pat\Lokale Einstellungen\Temp\nsiDA.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\Downloaded Program Files\sexdirekt.exe
C:\WINDOWS\Downloaded Program Files\uloader.dll
C:\WINDOWS\Downloaded Program Files\uloader.inf
C:\WINDOWS\Downloaded Program Files\acab.dll
C:\WINDOWS\Downloaded Program Files\setup.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\sexdirekt.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.7\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.9\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.10\acab.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.11\acab.dll

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

**
Datenträgerbereinigung: und Löschen der Temporary-Dateien
Start - Ausführen - cleanmgr (reinschreiben)
Klick: Temporäre Internet Files/Temporäre Internet Dateien -> o.k.
Klick: Temporäre Dateien -> o.k

**
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

-----

boote wieder in den Normalmodus

**
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

-----------------------------------------------------------------------------------------

Zitat

Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

dahin geht deine TCP-Verbindung.................
um also den Wareout zu finden, poste bitte alle diese Logs (per Anhang, siehe unten)
http://virus-protect.org/completbat.html
+

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next -->>>> poste das LOG
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Danke schon mal für die schnelle Hilfestellung. Wwerde ich gleich, wenn ich zu Hause bin, mal abarbeiten!

Heißt das, irgendein M***kerl in der Ukraine versucht, meine Daten zu stehlen? Was genau ist ein Wareout? Sobald ich die lästigen Kerlchen los bin, sollte ich also am besten alle meine Passwörter mal wieder wechseln, oder?

#6 mal sehen ob es gelingt, zu loeschen, denn anscheinend surfst du schon geraume Zeit mit dem Hijacker.....
poste die logs, dann sehen wir weiter.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,

ich hoffe, dass ich alles richtig, vor allem in der richtigen reihenfolge, abgearbeitet habe.

f-secure blacklight hat jedenfalls keine versteckten prozesse gefunden, da gab es kein LOG zum kopieren, nur eine Zusammenfassung des Ergebnisses.

Die Logs aus der complet.bat soll ich dir doch als Anlage beipacken, oder? Da ich insgesamt neun textdateien habe, füge ich diese mal als eine zusammen und hoffe, dass das so passt. kann ja nur eine Datei beifügen

Es dankt der pecki

#8 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWSmspjad.dll
C:\WINDOWSmspnok.dll
C:\WINDOWSmsckhm.dll

poste die reporte
----------------------------------------------------------------------

Zitat

ist fuer mich.........
C:\Programme\SinEspias
C:\WINDOWS\system32\rmb-icon.ico
C:\WINDOWS\system32\usaplat_blue1.ico
C:\WINDOWS\system32\paris2.ico
C:\WINDOWS\system32\dice.ico
C:\WINDOWS\system32\syscm
C:\WINDOWS\system32\o8k0fsv0.tmp
C:\WINDOWS\system32\usaplat_blue.ico
C:\WINDOWS\system32\ge2123.ico
C:\WINDOWS\system32\search.html
C:\WINDOWS\system32\searchbar.html

__________
MfG Sabina

rund um die PC-Sicherheit

#9 So, weiter gehts...ein weiterer Abend vor dem rechner *grins*

Numero uno:

STATUS: FINISHEDComplete scanning result of "WINDOWSmspjad.dll", received in VirusTotal at 05.23.2006, 20:32:17 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.23.2006 no virus found
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.23.2006 no virus found
AVG 386 05.23.2006 no virus found
BitDefender 7.2 05.23.2006 no virus found
CAT-QuickHeal 8.00 05.23.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.23.2006 no virus found
eTrust-InoculateIT 23.72.15 05.23.2006 no virus found
eTrust-Vet 12.4.2224 05.23.2006 no virus found
Ewido 3.5 05.23.2006 no virus found
Fortinet 2.77.0.0 05.23.2006 no virus found
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.23.2006 no virus found
Kaspersky 4.0.2.24 05.23.2006 no virus found
McAfee 4768 05.23.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1553 05.22.2006 no virus found
Norman 5.90.17 05.23.2006 no virus found
Panda 9.0.0.4 05.23.2006 no virus found
Sophos 4.05.0 05.23.2006 no virus found
Symantec 8.0 05.23.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 no virus found
UNA 1.83 05.23.2006 no virus found
VBA32 3.11.0 05.23.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Nummer zwei:

STATUS: FINISHEDComplete scanning result of "WINDOWSmspnok.dll", received in VirusTotal at 05.23.2006, 20:36:11 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.23.2006 no virus found
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.23.2006 no virus found
AVG 386 05.23.2006 no virus found
BitDefender 7.2 05.23.2006 no virus found
CAT-QuickHeal 8.00 05.23.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.23.2006 no virus found
eTrust-InoculateIT 23.72.15 05.23.2006 no virus found
eTrust-Vet 12.4.2224 05.23.2006 no virus found
Ewido 3.5 05.23.2006 no virus found
Fortinet 2.77.0.0 05.23.2006 no virus found
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.23.2006 no virus found
Kaspersky 4.0.2.24 05.23.2006 no virus found
McAfee 4768 05.23.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1553 05.22.2006 no virus found
Norman 5.90.17 05.23.2006 no virus found
Panda 9.0.0.4 05.23.2006 no virus found
Sophos 4.05.0 05.23.2006 no virus found
Symantec 8.0 05.23.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 no virus found
UNA 1.83 05.23.2006 no virus found
VBA32 3.11.0 05.23.2006 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Und der letzte:

STATUS: FINISHEDComplete scanning result of "WINDOWSmsckhm.dll", received in VirusTotal at 05.23.2006, 20:37:55 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.23.2006 no virus found
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.23.2006 no virus found
AVG 386 05.23.2006 no virus found
BitDefender 7.2 05.23.2006 no virus found
CAT-QuickHeal 8.00 05.23.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.23.2006 no virus found
eTrust-InoculateIT 23.72.15 05.23.2006 no virus found
eTrust-Vet 12.4.2224 05.23.2006 no virus found
Ewido 3.5 05.23.2006 no virus found
Fortinet 2.77.0.0 05.23.2006 no virus found
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.23.2006 no virus found
Kaspersky 4.0.2.24 05.23.2006 no virus found
McAfee 4768 05.23.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1553 05.22.2006 no virus found
Norman 5.90.17 05.23.2006 no virus found
Panda 9.0.0.4 05.23.2006 no virus found
Sophos 4.05.0 05.23.2006 no virus found
Symantec 8.0 05.23.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 no virus found
UNA 1.83 05.23.2006 no virus found
VBA32 3.11.0 05.23.2006 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

#10 Pecki75

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

waehlen: Singel Files

C:\WINDOWS\system32\rmb-icon.ico
C:\WINDOWS\system32\usaplat_blue1.ico
C:\WINDOWS\system32\paris2.ico
C:\WINDOWS\system32\dice.ico
C:\WINDOWS\system32\syscm
C:\WINDOWS\system32\syscm.exe
C:\WINDOWS\system32\o8k0fsv0.tmp
C:\WINDOWS\system32\usaplat_blue.ico
C:\WINDOWS\system32\ge2123.ico
C:\WINDOWS\system32\search.html
C:\WINDOWS\system32\searchbar.html

waehlen: All Files

C:\Programme\SinEspias

---------------------------------------------------------------------

PC neustarten

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C3844CB-8A39-4AC9-BB24-9640EB2C37E8}: NameServer = 85.255.113.107,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BC2EE9-FD49-440A-A344-BDC86379D2C6}: NameServer = 85.255.113.107 85.255.112.121

PC neustarten

**
erstelle eine neue Internetverbindung

**
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

**
ueberpruefe, ob das geloescht ist: C:\Programme\SinEspias

**
und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#11

Zitat

erstelle eine neue Internetverbindung [

Was genau meinst Du damit? Einfach ins Netz gehen oder auf dem Rechner (physikalisch) eine Internetverbindung einrichten?

Gruß, Patrick

#12 die bestehende wird mit HijackThis ausgeloescht, es kann sein, dass automatisch eine neue erstellt wird, vielleicht auch nicht abhaengig von den Einstellungen.
Versuche es mal und berichte, was nach dem Hochfahren geschehen ist. + poste das neue Log vom HijackTHis, da kann man es sehen.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Moin, moin!

Bin nicht so sicher, ob alles richtig läuft. Nach Killbox hatte ich erstmal Schwierigkeiten beim Hochfahren, es kam mehrmals nur ein blauer Desktop ohne Verknüpfungen und ohne Taskleiste. Irgendwann ging es dann doch und ich hab Hijackthis angeschmissen. Die Internetverbindung war nach erneutem Hochfahren jedenfalls noch/wieder da.

Fixwareout hat den PC nicht neu gestartet, sondern mir direkt den Report angezeigt?

Check for missing files
.....
C:\WINDOWS\system32\AUTOEXEC.NT not there
.....
End check for missing files
.....
VXD Check
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers]
"VDD"=hex(7):43,3a,5c,50,52,4f,47,52,41,7e,31,5c,53,79,6d,61,6e,74,65,63,5c,53,\
33,32,45,56,4e,54,31,2e,44,4c,4c,00,00
.....
End vxd check
.....
please post this at the forum

Mist! C:\Programme\SinESpias ist noch da! Soll ich das Löschen?

Hier noch der neue Log von Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:28:12, on 25.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Antivirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
D:\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spyware Nuker 2004\swn2.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Webroot\Washer\wwDisp.exe
D:\a-squared\a2guard.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Pecki\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.netcologne.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Spyware Nuker] C:\Programme\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] D:\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Window Washer] D:\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [a-squared] "D:\a-squared\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BC2EE9-FD49-440A-A344-BDC86379D2C6}: NameServer = 85.255.113.107 85.255.112.121
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: D:\OUTPOS~1\wl_hook.dll
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Antivirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Outpost Firewall\outpost.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Unknown owner - D:\Programme\Norton AntiVirus\SymProxySvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#14 es hat keinen Sinn, ich glaube nicht, dass ich den Rechner noch sauber bekommen, die TCP-Verbindung ist die gleiche wie vorher .....
das beste wird sein, wenn du formatierst. (so leid es mir tut)

Zitat

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------

__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hmmm, schade. Danke vielmals bis hier hin für die Hilfe!

welche Konsequenzen hat den diese TCP-Verbindung für mich? Inwiefern bin ich bedroht?

Update:

Hi Sabina,

wäre nett, wenn Du zwischendurch mir noch schnell antworten könntest, wenn Du Zeit hast :-)

Könnte es denn nicht sein, dass ich zwischendurch etwas falsch gemacht habe. Bin mir an dem Punkt mit dem deaktivieren der Systemwiederherstellung nicht so sicher. Ich habe daas damals so gemacht, dass ich die ab- und direkt anschließend wieder aktiviert habe, also ohen irgendwelche Aktionen zwischendurch....

Noch ein Update:

Zitat

Sabina postete
es hat keinen Sinn, ich glaube nicht, dass ich den Rechner noch sauber bekommen, die TCP-Verbindung ist die gleiche wie vorher .....
das beste wird sein, wenn du formatierst. (so leid es mir tut)

Zitat

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------

YEAAAHH, YEAAAH ich glaub ich bin sauber!! War eigentlich ganz easy. Der "böse" 17-Schlüssel ist weg!!

Hier der Hijackthis-Log
Logfile of HijackThis v1.99.1
Scan saved at 23:35:22, on 25.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
D:\Outpost Firewall\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Spyware Nuker 2004\swn2.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Webroot\Washer\wwDisp.exe
D:\a-squared\a2guard.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Dokumente und Einstellungen\Pecki\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.netcologne.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Spyware Nuker] C:\Programme\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] D:\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Window Washer] D:\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [a-squared] "D:\a-squared\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BC2EE9-FD49-440A-A344-BDC86379D2C6}: NameServer = 213.168.112.60 81.173.194.68
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: D:\OUTPOS~1\wl_hook.dll
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Antivirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Outpost Firewall\outpost.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Unknown owner - D:\Programme\Norton AntiVirus\SymProxySvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Ich bin wieder Herr über meine Internetverbindung!!

% Information related to '213.168.112.0 - 213.168.112.255'

inetnum: 213.168.112.0 - 213.168.112.255
netname: NETCOLOGNE
descr: Netcologne GmbH
descr: Maarweg 163
descr: D-50825 Koeln
country: DE
admin-c: NC1424-RIPE
tech-c: NC1424-RIPE
status: ASSIGNED PA
mnt-by: NETCOLOGNE-MNT
source: RIPE # Filtered

role: hostmaster NETCOLOGNE
address: NetCologne GmbH
address: Am Coloneum 9
address: D-50829 Koeln
address: Germany
phone: +49-221-2222-0
fax-no: +49-221-2222-620
e-mail: hostmaster@netcologne.de
admin-c: MR111-RIPE
tech-c: GN194-RIPE
tech-c: MA1830-RIPE
nic-hdl: NC1424-RIPE
remarks: + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
remarks: + abuse@netcologne.de is contact for criminal use, spam, etc. +
remarks: + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
mnt-by: NETCOLOGNE-MNT
source: RIPE # Filtered

% Information related to '213.168.64.0/18AS8422'

route: 213.168.64.0/18
descr: NetCologne PA space
origin: AS8422
mnt-by: NETCOLOGNE-MNT
source: RIPE # Filtered


Bin ich wirklich sauber?? Und nochmal die Frage: was genau hat dieser wareout veranstaltet? Krieg ich jetzt ne Telefonrechnung, bei der ich umfalle. ich bin doch physikalisch über einen Server in der Ukraine gesurft, oder? Obwohl im Status (Taskleiste) meiner I-Netverbinduung immer ne andere Ip-Adresse stand als in der Netzwerkverbindung...Mistvieh