Hab mir tr/dldr.small.bgf.9 gefangen

#1 hallo

ich will mal hoffen das ich hier richtig bin

es geht wie im titel schon beschrieben um diesen trojaner(wird so von antivir erkannt)

bei meiner suche bei google hab ich leider nichts zu diesem typ gefunden nur etwas über ähnliche.

wie bekomme ich das mistvieh wieder runter?
was haben bei diesem typ die endungen zu bedeuten?


bin für jede hilfe dankbar

#2 Gib uns etwas mehr Informationen zu deinem Problem. Nutze dazu die Hilfe in diesem Artikel http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 hoffe mal das das richtig ist was ich hier mache*gg*

Logfile of HijackThis v1.99.1
Scan saved at 22:15:42, on 30.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\msupdate.cmd
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Neu\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Kopie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] D:\Cordula\Handy\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinTimer] "C:\WINDOWS\system32\msupdate.cmd"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144696792832
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.gamehouse.com/games/mjolauncher.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Verzeichnis von C:\WINDOWS\system32

30.05.2006 12:12 13.646 wpa.dbl
28.05.2006 17:00 3.437 ikhcore.log
28.05.2006 11:31 11.264 msupdate.cmd
28.05.2006 11:30 314.508 perfh009.dat
28.05.2006 11:30 40.836 perfc009.dat
28.05.2006 11:30 320.094 perfh007.dat
28.05.2006 11:30 49.174 perfc007.dat
28.05.2006 11:30 729.988 PerfStringBackup.INI
26.05.2006 17:59 7.006 jupdate-1.5.0_06-b05.log
26.05.2006 17:50 0 REN1F.tmp
26.05.2006 17:50 0 REN1E.tmp
14.05.2006 16:50 0 REND.tmp
14.05.2006 16:50 0 RENC.tmp
14.04.2006 16:52 136.496 FNTCACHE.DAT
31.03.2006 20:42 4.212 zllictbl.dat
31.03.2006 20:42 5.120 vsconfig.xml
29.03.2006 22:50 4.286 ot.ico
17.03.2006 16:05 1.413 mapisvc.inf
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll


Verzeichnis von C:\DOKUME~1\Neu\LOKALE~1\Temp



Verzeichnis von C:\WINDOWS

30.05.2006 22:06 583.143 WindowsUpdate.log
30.05.2006 22:06 0 0.log
30.05.2006 22:05 159 wiadebug.log
30.05.2006 22:05 50 wiaservc.log
30.05.2006 22:05 2.048 bootstat.dat
28.05.2006 19:57 32.628 SchedLgU.Txt
28.05.2006 16:07 1.409 QTFont.for
28.05.2006 16:07 54.156 QTFont.qfn
28.05.2006 11:46 1.038.698 setupapi.log
28.05.2006 11:30 37.187 iis6.log
28.05.2006 11:30 101.315 comsetup.log
28.05.2006 11:30 64.494 ntdtcsetup.log
28.05.2006 11:30 117.013 tsoc.log
28.05.2006 11:30 13.581 ocmsn.log
28.05.2006 11:30 4.566 imsins.log
28.05.2006 11:30 188.720 ocgen.log
28.05.2006 11:30 14.980 msgsocm.log
28.05.2006 11:30 265.148 FaxSetup.log
26.05.2006 17:39 4.566 imsins.BAK
25.05.2006 07:05 34.306 wmsetup.log
11.05.2006 20:51 712 win.ini
11.05.2006 18:37 737.280 iun6002.exe
25.04.2006 19:51 81.559 Directx.log
10.04.2006 21:29 6.201 WGA.log
10.04.2006 21:28 7.190 KB898461.log
10.04.2006 21:28 6.972 KB893803v2.log
19.02.2006 11:25 177.769 setupact.log


Verzeichnis von C:\


30.05.2006 22:31 0 sys.txt
30.05.2006 22:31 7.194 system.txt
30.05.2006 22:30 131 systemtemp.txt
30.05.2006 22:30 93.236 system32.txt
30.05.2006 22:05 335.114.240 hiberfil.sys
30.05.2006 22:05 503.316.480 pagefile.sys
17.03.2006 16:08 28.581 SDSSetup.log
03.11.2004 17:08 47.564 NTDETECT.COM
03.11.2004 17:08 251.184 ntldr


mein problem was ich mit dem virus habe ist das ich ständig von antivir neue meldungen bekomme das was gefunden wurde.
ich diese aber nicht löschen kann.

#4 jjogi

wenn du uns den scanreport vom Antivirus posten wuerdest, anstelle nur zu berichten, dass er was anzeigt...koennten wir besser helfen

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msupdate.cmd

poste den bericht
__________
MfG Sabina

rund um die PC-Sicherheit

#5 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 31. Mai 2006 10:00

Es wird nach 393378 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Neu
Computername: WZ

Versionsinformationen:
AVSCAN.EXE : 7.0.0.38 593960 11.02.2006 10:21:26
AVSCAN.DLL : 7.0.0.38 57384 11.02.2006 10:21:26
LUKE.DLL : 7.0.0.37 118824 11.02.2006 10:21:26
LUKERES.DLL : 7.0.0.37 32808 11.02.2006 10:21:26
ANTIVIR0.VDF : 6.32.0.60 4323840 11.02.2006 10:21:25
ANTIVIR1.VDF : 6.34.1.87 2215424 11.02.2006 10:21:25
ANTIVIR2.VDF : 6.34.1.148 146432 11.02.2006 10:21:25
ANTIVIR3.VDF : 6.34.1.152 8192 11.02.2006 10:21:25
AVEWIN32.DLL : 7.0.0.16 1229312 11.02.2006 10:21:25
AVPREF.DLL : 7.0.0.1 53288 11.02.2006 10:21:25
AVREP.DLL : 6.34.1.130 622632 11.02.2006 10:21:25
AVRPBASE.DLL : 7.0.0.0 2162728 05.05.2006 18:58:31
AVPACK32.DLL : 7.0.0.4 335912 11.02.2006 10:21:25
AVREG.DLL : 6.31.0.90 27688 11.02.2006 10:21:25
NETNT.DLL : 6.32.0.0 6696 11.02.2006 10:21:26
NETNW.DLL : 6.32.0.0 9768 11.02.2006 10:21:26
RCIMAGE.DLL : 7.0.0.63 1613864 11.02.2006 10:21:33
RCTEXT.DLL : 7.0.0.62 73768 11.02.2006 10:21:33

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 0
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Mittwoch, 31. Mai 2006 10:00


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 31 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 18 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\907f66b593175940e2fa102d05a9c1ca_30f7f8c8-fe6f-4e86-a4f4-5fad64f08550
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Neu\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Neu\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Neu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Neu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Neu\Lokale Einstellungen\Temp\winA.tmp
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.bqf.9 [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\$NtUninstallKB824141$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hh.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\html32.cnv
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\itss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\locator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\osk.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shell32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srv.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\colbact.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comuid.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\es.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\ole32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\txflog.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB833407$\bssym7.ttf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\h323.tsp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB839645$\shell32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB839645$\shlwapi.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB839645$\sxs.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB839645$\xpsp2res.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT05e17.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 31. Mai 2006 11:04
Benötigte Zeit: 1:04:45 min

Der Suchlauf wurde vollständig durchgeführt.

3204 Verzeichnisse wurden überprüft
186544 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1218 Archive wurden durchsucht
103 Warnungen
1 Hinweise




AntiVir 6.34.1.34 05.31.2006 Heuristic/Hijacker
Authentium 4.93.8 05.31.2006 W32/Startpage.AYU
Avast 4.6.695.0 05.31.2006 Win32:Trojan-gen. {Other}
AVG 386 05.30.2006 Startpage.16.AG
BitDefender 7.2 05.31.2006 Trojan.StartPage.TJ
CAT-QuickHeal 8.00 05.30.2006 no virus found
ClamAV devel-20060426 05.30.2006 no virus found
DrWeb 4.33 05.31.2006 Trojan.MulDrop.2855
eTrust-InoculateIT 23.72.22 05.31.2006 no virus found
eTrust-Vet 12.6.2235 05.31.2006 no virus found
Ewido 3.5 05.31.2006 no virus found
Fortinet 2.77.0.0 05.31.2006 suspicious
F-Prot 3.16f 05.31.2006 destructive program named W32/Startpage.AYU
Ikarus 0.2.65.0 05.30.2006 no virus found
Kaspersky 4.0.2.24 05.31.2006 Trojan.Win32.StartPage.tj
McAfee 4773 05.30.2006 Generic StartPage.e
Microsoft 1.1441 05.31.2006 no virus found
NOD32v2 1.1569 05.31.2006 Win32/StartPage.TJ
Norman 5.90.17 05.30.2006 W32/Startpage.CCI
Panda 9.0.0.4 05.30.2006 Suspicious file
Sophos 4.05.0 05.31.2006 no virus found
Symantec 8.0 05.31.2006 no virus found
TheHacker 5.9.8.151 05.29.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.30.2006 suspected of Embedded.Trojan-Downloader.Win32.Small.bqf

#6 jjogi
1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msupdate.cmd

kopiere den bericht hier

C:\WINDOWS\system32\msupdate.cmd infected by "Trojan.Win32.StartPage.tj"

-----------------------------------------------------------------
2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\msupdate.cmd
C:\WINDOWS\system32\REN1F.tmp
C:\WINDOWS\system32\REN1E.tmp
C:\WINDOWS\system32\REND.tmp
C:\WINDOWS\system32\RENC.tmp
C:\WINDOWS\system32\ot.ico

PC neustarten

3.
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 bitte nicht schlagen wen ich alles falsch mache bin auf dem gebiet absolut ohne kentnisse

AntiVir 6.34.1.34 05.31.2006 Heuristic/Hijacker
Authentium 4.93.8 05.31.2006 W32/Startpage.AYU
Avast 4.6.695.0 05.31.2006 Win32:Trojan-gen. {Other}
AVG 386 05.30.2006 Startpage.16.AG
BitDefender 7.2 05.31.2006 Trojan.StartPage.TJ
CAT-QuickHeal 8.00 05.30.2006 no virus found
ClamAV devel-20060426 05.30.2006 no virus found
DrWeb 4.33 05.31.2006 Trojan.MulDrop.2855
eTrust-InoculateIT 23.72.22 05.31.2006 no virus found
eTrust-Vet 12.6.2235 05.31.2006 no virus found
Ewido 3.5 05.31.2006 no virus found
Fortinet 2.77.0.0 05.31.2006 suspicious
F-Prot 3.16f 05.31.2006 destructive program named W32/Startpage.AYU
Ikarus 0.2.65.0 05.30.2006 no virus found
Kaspersky 4.0.2.24 05.31.2006 Trojan.Win32.StartPage.tj
McAfee 4773 05.30.2006 Generic StartPage.e
Microsoft 1.1441 05.31.2006 no virus found
NOD32v2 1.1569 05.31.2006 Win32/StartPage.TJ
Norman 5.90.17 05.30.2006 W32/Startpage.CCI
Panda 9.0.0.4 05.30.2006 Suspicious file
Sophos 4.05.0 05.31.2006 no virus found
Symantec 8.0 05.31.2006 no virus found
TheHacker 5.9.8.151 05.29.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.30.2006 suspected of Embedded.Trojan-Downloader.Win32.Small.bqf

#8 1.
nun loesche alles mit der Killbox und poste das Log von Dr.Web

2.
öffne das HijackThis -- Button "scan" -- vor Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [WinTimer] "C:\WINDOWS\system32\msupdate.cmd"
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#9 dr.web

A0392181.exe C:\System Volume Information\_restore{353D3AA8-312F-45EE-A4EC-74049B19A5B7}\RP455 Adware.Zango
A0392558.dll C:\System Volume Information\_restore{353D3AA8-312F-45EE-A4EC-74049B19A5B7}\RP458 Adware.Zango


Logfile of HijackThis v1.99.1
Scan saved at 12:34:52, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Neu\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Kopie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] D:\Cordula\Handy\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinTimer] "C:\WINDOWS\system32\msupdate.cmd"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144696792832
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.gamehouse.com/games/mjolauncher.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#10 jjogi

wie kommt denn ploetzlich der SpyBro auf den Rechner ?????????????
Damit ist nun wirklich alles verdorben !!!!!!!!! (der ist "Schuld" an der verseuchung...........

P.S. ich hatte es oben nicht gesehen...nun, also alles von vorn:

--------------------------------------------------------------------------

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
fixe mit HijackThis:
O4 - HKLM\..\Run: [WinTimer] "C:\WINDOWS\system32\msupdate.cmd"
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart

PC neustarten

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyBro

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


4.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 das weis ich leider nicht wie das zeug drauf kommt(ist ein mehr personen pc)


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 01.06.2006 22:51:44 for strings:
; 'spybro'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A2D2E71-1882-44fb-923A-2FE0958B53F5}\InProcServer32]
@="\"C:\\Programme\\SpyBro\\LawEnforcer.dll\""

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\RemoteConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\Signatures]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpyBro\\SpyBro.exe"="www.spyware-browser.com"
"C:\\Programme\\SpyBro\\unins000.exe"="Setup/Uninstall"

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\Antivirus]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\General]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\GuardOptions]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\GuardOptions\EnabledMonitors]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\Monitors]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\RemoteConfig]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\ScanOptions]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\ScanOptions\CustomScan]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\ScanOptions\SelectedFolders]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\ScanOptions\StartupCustomScan]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\Scheduler]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\Scheduler\CustomScan]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\Scheduler\Event 0]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\Startup]

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser\Statistics]

; End Of The Log...



der kaspersky hat nix gefunden(report is empty)

#12 jjogi

Information:SpyBrowser
http://virus-protect.org/artikel/spyware/spybrowser.html

------------------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A2D2E71-1882-44fb-923A-2FE0958B53F5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\RemoteConfig]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\Signatures]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Antispy]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Antispy]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy]
[-HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\SpyBrowser]

Killbox
http://virus-protect.org/killbox.html
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf auf "yes"
reinkopieren: ............

Zitat

C:\Programme\SpyBro\Antispy.sys
C:\Programme\SpyBro\LawEnforcer.dll
C:\WINDOWS\system32\pushow56.dll
C:\WINDOWS\system32\msupdate.cmd
C:\Programme\SpyBro\SpyBro.exe
C:\Programme\SpyBro\unins000.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und mit "ja" der Registry beifuegen

**
loesche:
C:\Programme\SpyBro

-------------
**
boote wider in den normalmodus

**
öffne das HijackThis -- Button "scan" -- vor Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [WinTimer] "C:\WINDOWS\system32\msupdate.cmd"
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart

PC neustarten

**
und scanne noch einmal:
doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyBro

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

**
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13

Zitat

loesche:
C:\Programme\SpyBro

kann ich leider net finden(oder ist das gut??)

Logfile of HijackThis v1.99.1
Scan saved at 10:00:20, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Neu\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Kopie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] D:\Cordula\Handy\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144696792832
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.gamehouse.com/games/mjolauncher.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe





REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 02.06.2006 10:02:24 for strings:
; 'spybro'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="spybro"

[HKEY_USERS\S-1-5-21-842925246-2111687655-1957994488-1006\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SpyBro\\SpyBro.exe"="www.spyware-browser.com"
"C:\\Programme\\SpyBro\\unins000.exe"="Setup/Uninstall"

; End Of The Log...

#14 scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 kaspersky
report is empty