Home » Viren, Trojaner & Malware Forum » unspypc und favset.exe » Themenansicht

unspypc und favset.exe
#0
30.05.2006, 15:01
ebse
...neu hier

Beiträge: 5
#1 hallo mteinander,
ich hab mir wie so manche, diesen unsäglichen trojaner eingefangen. unspypc hab ich gleich deinstalliert, ob das programm ganz weg ist, weiss ich nicht. ausserdem hab ich diese leiste im explorer, die ich nicht wegbekomme. antivir hat ausserdem sphlp32.exe, favset.exe, TR/Click.small.KG und TR/Click.526 gemeldet (1mal und dann nie wieder). ich hab schon einiges über das problem gelesen, mir kommt aber vor, die lösungsansätze sind so individuell, dass ich mein problem samt hijackthis-logfile hier poste. ich bin nicht wirklich computerfreak, mir wäre also mit verständlichen ratschlägen am besten gedient.
es kann sein, dass ich auf antworten nicht sofort reagiere, da ich nicht ständig am rechner sitze.

im voraus vielen, vielen dank, ebse

und hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:33:13, on 30.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\gearsec.exe
F:\Programme\ahead\InCD\InCDsrv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Slave.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINNT\Dit.exe
C:\WINNT\DitExp.exe
F:\Programme\ahead\InCD\InCD.exe
C:\WINNT\Logi_MwX.Exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\svchost.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\Programme\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
F:\Programme\Adobe\Distillr\AcroTray.exe
C:\WINNT\System32\svchost.exe
F:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\BVI1\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\adobe\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\xidnw.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\xidnw.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] F:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "F:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [UIWatcher] F:\Programme\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/15bc51aa2aa92cd20206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134324262914
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92E40D89-AE51-4209-BC2C-CFB62A4F4D19}: NameServer = 85.255.115.4,85.255.112.14
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: gearsec - GEAR Software - C:\WINNT\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Programme\ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: RA Server (Slave) - TWD Industries SAS - C:\WINNT\Slave.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
31.05.2006, 01:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ebse

1.
poste das log:
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3,
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
poste das log vom Silentrunner
http://virus-protect.org/silentrunner.html

5.
Download Registry Search by Bobbi Flekmanhttp://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

UnSpyPC

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

---------
sollte der Platz nicht fuer alle Logs reichen, poste einiges als Anhang (siehe unten) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2006, 12:36
ebse
...neu hier

Themenstarter

Beiträge: 5
#3 hallo sabina,
erstmal ganz herzlichen dank für die rasche antwort!!!

ich hab alle schritte brav durchgeführt und sende hiermit alle logs.
die explorer-toolbar ist übrigens im moment nicht zu sehen.

BlackLight

05/31/06 11:40:47 [Info]: BlackLight Engine 1.0.37 initialized
05/31/06 11:40:47 [Info]: OS: 5.0 build 2195 (Service Pack 4)
05/31/06 11:40:47 [Note]: 7019 4
05/31/06 11:40:47 [Note]: 7005 0
05/31/06 11:41:01 [Note]: 7006 0
05/31/06 11:41:01 [Note]: 7011 1004
05/31/06 11:41:02 [Note]: 7026 0
05/31/06 11:41:02 [Note]: 7026 0
05/31/06 11:41:10 [Note]: FSRAW library version 1.7.1015
05/31/06 11:41:11 [Info]: Hidden file: c:\Dokumente und Einstellungen\BVI1\Desktop\CHIP Online - Forum Viren, Trojaner, Würme
05/31/06 11:41:11 [Note]: 10002 1
05/31/06 11:41:57 [Info]: Hidden file: c:\WINNT\system32\dmtyl.exe
05/31/06 11:41:57 [Note]: 7002 32
05/31/06 11:41:57 [Note]: 7003 1
05/31/06 11:41:57 [Note]: 10002 1
05/31/06 11:41:58 [Info]: Hidden file: c:\WINNT\system32\filesafer23.exe
05/31/06 11:41:58 [Note]: 10002 1
05/31/06 11:41:58 [Info]: Hidden file: c:\WINNT\system32\howiper.exe
05/31/06 11:41:58 [Note]: 10002 1
05/31/06 11:42:02 [Info]: Hidden file: c:\WINNT\system32\pppcgm.exe
05/31/06 11:42:02 [Note]: 10002 1
05/31/06 11:42:04 [Info]: Hidden file: c:\WINNT\system32\cszjw.exe
05/31/06 11:42:04 [Note]: 7002 32
05/31/06 11:42:04 [Note]: 7003 1
05/31/06 11:42:04 [Note]: 10002 1
05/31/06 11:43:04 [Info]: Hidden file: c:\WINNT\system32\wbem\wbemtest.exe
05/31/06 11:43:04 [Note]: 10002 1
05/31/06 11:43:07 [Note]: 2000 1006
05/31/06 11:44:45 [Note]: 7007 0
------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist C
Datentr„gernummer: B4DC-BC87

Verzeichnis von C:\DOKUME~1\BVI1\LOKALE~1\Temp

31.05.2006 12:04 206 jusched.log
1 Datei(en) 206 Bytes
0 Verzeichnis(se), 4.696.322.048 Bytes frei
------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist C
Datentr„gernummer: B4DC-BC87

Verzeichnis von C:\WINNT

31.05.2006 11:34 1.062.125 WindowsUpdate.log
31.05.2006 11:32 32.628 SchedLgU.Txt
31.05.2006 11:30 906.921 setupapi.log
18.05.2006 11:11 4.334 rdt.ini
18.05.2006 10:49 6.400 balloon.wav
18.05.2006 10:48 116 NeroDigital.ini
14.05.2006 12:15 369 capture.ini
30.04.2006 20:02 1.080 AUTOLNCH.REG
03.04.2006 15:32 243.281 wmsetup.log
30.03.2006 13:49 53 ø
30.03.2006 13:49 25 O
04.03.2006 15:04 121 GEARInstall.log
-----------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist C
Datentr„gernummer: B4DC-BC87

Verzeichnis von C:\WINNT\system32

31.05.2006 12:04 26.682 nvapps.xml
04.04.2006 13:28 4.212 zllictbl.dat
04.04.2006 13:24 5.120 vsconfig.xml
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
---------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist C
Datentr„gernummer: B4DC-BC87

Verzeichnis von C:\

31.05.2006 12:12 0 sys.txt
31.05.2006 12:11 13.243 system.txt
31.05.2006 12:09 282 systemtemp.txt
31.05.2006 12:07 104.389 system32.txt
31.05.2006 12:04 3.004.280 ra_slave.log
31.05.2006 11:33 801.112.064 pagefile.sys
01.05.2006 18:10 745.151 stub.log
30.04.2006 20:02 0 Log.txt
-----------------------------------------------------------------------
Silent Runners

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UIWatcher" = "F:\Programme\Ashampoo UnInstaller 2002-2003\UIWatcher.exe" ["ashampoo GmbH & Co. KG"]
"UnSpyPC" = ""C:\Programme\UnSpyPC\UnSpyPC.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"HPDJ Taskbar Utility" = "C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe" ["HP"]
"Dit" = "Dit.exe" ["ICSI Technology Ltd."]
"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "F:\Programme\ahead\InCD\InCD.exe" ["Nero AG"]
"FineReader7NewsReaderPro" = ""F:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"" ["ABBYY (BIT Software)"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"LWBMOUSE" = "C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [empty string]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"CloneCDTray" = ""F:\Programme\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"iTunesHelper" = ""F:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""F:\programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Zone Labs Client" = "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"dmrrv.exe" = "C:\WINNT\system32\dmrrv.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "f:\programme\adobe\Acrobat\ActiveX\AcroIEHelper.ocx" [empty string]
{08BEC6AA-49FC-4379-3587-4B21E286C19E}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SearchToolbar"
\InProcServer32\(Default) = "C:\WINNT\system32\xidnw.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "F:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "F:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "F:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell Extension Component"
-> {HKLM...CLSID} = "CorelDRAW Shell Extension Component"
\InProcServer32\(Default) = "F:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" ["Corel Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "F:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "F:\Programme\Real\RealOne Player\rpshell.dll" ["RealNetworks, Inc."]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "F:\Programme\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "F:\Programme\dBpowerAMP\dMCShell.dll" [empty string]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "F:\Programme\ahead\InCD\incdshx.dll" ["Nero AG"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cszjw.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
DropStuff Context Menu\(Default) = "{2e336dc0-54f8-11d1-abd5-447270537466}"
-> {HKLM...CLSID} = "DropStuff Context Menu"
\InProcServer32\(Default) = "F:\Programme\Aladdin Systems\StuffIt 7.0.2\DropStuff\ShellDS.dll" ["Aladdin Systems, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "F:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "F:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
DropStuff Context Menu\(Default) = "{2e336dc0-54f8-11d1-abd5-447270537466}"
-> {HKLM...CLSID} = "DropStuff Context Menu"
\InProcServer32\(Default) = "F:\Programme\Aladdin Systems\StuffIt 7.0.2\DropStuff\ShellDS.dll" ["Aladdin Systems, Inc."]
FineReader\(Default) = "{AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}"
-> {HKLM...CLSID} = "FineReaderExplorerContextMenuHandler"
\InProcServer32\(Default) = "f:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll" ["ABBYY (BIT Software)"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "F:\PROGRA~1\WinZip\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoBandCustomize"=dword:00000001
[disables toolbar status changes in Internet Explorer|View|Toolbars]
{User Configuration|Administrative Templates|Windows Components|
Internet Explorer|Toolbars|Disable customizing browser toolbars}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINNT\streifen.bmp"


Startup items in "BVI1" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "F:\Programme\Adobe\Distillr\AcroTray.exe" ["Adobe Systems Inc."]
"Microsoft Office" -> shortcut to: "F:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 09
%SystemRoot%\system32\rsvpsp.dll [MS], 10 - 11


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"
-> {HKLM...CLSID} = "SearchToolbar"
\InProcServer32\(Default) = "C:\WINNT\system32\xidnw.dll" [file not found]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"
-> {HKLM...CLSID} = "SearchToolbar"
\InProcServer32\(Default) = "C:\WINNT\system32\xidnw.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}" = "SearchToolbar"
-> {HKLM...CLSID} = "SearchToolbar"
\InProcServer32\(Default) = "C:\WINNT\system32\xidnw.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]


HOSTS file
----------

C:\WINNT\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,
1 of the IP addresses is *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
gearsec, gearsec, "C:\WINNT\System32\gearsec.exe" ["GEAR Software"]
InCD Helper, InCDsrv, "F:\Programme\ahead\InCD\InCDsrv.exe" ["Nero AG"]
iPodService, iPodService, "F:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\system32\nvsvc32.exe" ["NVIDIA Corporation"]
RA Server, Slave, "C:\WINNT\Slave.exe" ["TWD Industries SAS"]
TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor BJC-4200\Driver = "CNMLM0W.DLL" ["CANON INC."]
hpzlnt03\Driver = "hpzlnt03.dll" ["HP"]
PDF Port\Driver = "C:\WINNT\system32\pdfports.dll" ["Adobe Systems Incorporated."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 43 seconds, including 18 seconds for message boxes)
------------------------------------------------------------------------
RegSearch

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 31.05.2006 12:20:26 for strings:
; 'unspypc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\UnSpyPC.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\UnSpyPC.exe\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\UnSpyPC.exe\shell]
"FriendlyCache"="UnSpyPC spyware scanner"

[HKEY_USERS\S-1-5-21-790525478-688789844-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\""

[HKEY_USERS\S-1-5-21-790525478-688789844-839522115-1000\Software\UnSpyPC]

[HKEY_USERS\S-1-5-21-790525478-688789844-839522115-1000\Software\UnSpyPC\FirstRun]

[HKEY_USERS\S-1-5-21-790525478-688789844-839522115-1000\Software\UnSpyPC\Options]

[HKEY_USERS\S-1-5-21-790525478-688789844-839522115-1000\Software\UnSpyPC\Registration]

; End Of The Log...
--------------------------------------------------------------------

ich hoffe ich hab alles soweit richtig gemancht.

liebe grüsse, ebse
Seitenanfang Seitenende
31.05.2006, 13:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\UnSpyPC.exe]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\UnSpyPC.exe\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmrrv.exe"=-

[HKEY_USERS\S-1-5-21-790525478-688789844-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"UnSpyPC"=-

[-HKEY_USERS\S-1-5-21-790525478-688789844-839522115-1000\Software\UnSpyPC]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..........

Zitat

c:\WINNT\system32\dmtyl.exe
C:\WINNT\system32\xidnw.dll
C:\WINNT\system32\cszjw.exe
c:\WINNT\system32\filesafer23.exe
C:\WINNT\system32\dmrrv.exe
c:\WINNT\system32\howiper.exe
c:\WINNT\system32\pppcgm.exe
c:\WINNT\system32\cszjw.exe
c:\WINNT\rdt.ini
c:\WINNT\balloon.wav
PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\xidnw.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\xidnw.dll
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{92E40D89-AE51-4209-BC2C-CFB62A4F4D19}: NameServer = 85.255.115.4,85.255.112.14
4.
C:\Programme\UnSpyPC deinstallieren/loeschen

5.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

6.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

7.
scanne mit ewido -poste den scanreport
http://virus-protect.org/ewido.html

8.
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2006, 15:35
ebse
...neu hier

Themenstarter

Beiträge: 5
#5 hallo sabina,
ich hab alles befolgt.
bei Hoster gibts keinen ok-button, ich bin dann übers menü-->exit wieder raus, ob Hoster dabei etwas unterneommen hat weiss ich nicht.
beim scan mit ewido hab ich alle meldungen ignoriert, d.h. nicht gelöscht - war das ok so?

und jetzt noch die logs:

Logfile of HijackThis v1.99.1
Scan saved at 15:34:27, on 31.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\gearsec.exe
F:\Programme\ahead\InCD\InCDsrv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Slave.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINNT\Dit.exe
C:\WINNT\DitExp.exe
F:\Programme\ahead\InCD\InCD.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Logi_MwX.Exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\Programme\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
F:\Programme\iPod\bin\iPodService.exe
F:\Programme\Adobe\Distillr\AcroTray.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\BVI1\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\adobe\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] F:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "F:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [UIWatcher] F:\Programme\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/15bc51aa2aa92cd20206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134324262914
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92E40D89-AE51-4209-BC2C-CFB62A4F4D19}: NameServer = 195.34.133.21,195.34.133.22
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: gearsec - GEAR Software - C:\WINNT\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Programme\ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: RA Server (Slave) - TWD Industries SAS - C:\WINNT\Slave.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

----------------------------------------------------------------------


Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3F37F4FCADBE-9169-3344-0318-38F7D078{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\awomd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
"dmowa.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...
* csr.exe C:\WINNT\System32\CSWDT.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINNT\SYSTEM32\CSWDT.EXE 51.254 2006-05-18
C:\WINNT\SYSTEM32\DMOWA.EXE 61.965 2003-06-19

------------------------------------------------------------------------

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:33:10, 31.05.2006
+ Report-Checksumme: F129425E

+ Scanergebnis:

[792] C:\WINNT\Slave.exe -> Not-A-Virus.RemoteAdmin.Win32.RA.433 : Ignoriert
C:\!KillBox\pppcgm.exe -> Adware.Msnagent : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@adtech[2].txt -> TrackingCookie.Adtech : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@as1.falkag[2].txt -> TrackingCookie.Falkag : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@doubleclick[2].txt -> TrackingCookie.Doubleclick : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@ivwbox[1].txt -> TrackingCookie.Ivwbox : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@oewabox[1].txt -> TrackingCookie.Oewabox : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : Ignoriert
C:\RECYCLER\S-1-5-21-790525478-688789844-839522115-1000\Dc6.exe -> Adware.Msnagent : Ignoriert
C:\WINNT\Slave.exe -> Not-A-Virus.RemoteAdmin.Win32.RA.433 : Ignoriert
C:\WINNT\system32\cswdt.exe -> Downloader.Agent.uj : Ignoriert
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup


::Report Ende

--------------------------------------------------------------------

bis auf weiteres vielen dank und liebe grüsse, ebse
Seitenanfang Seitenende
31.05.2006, 19:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 du musst noch mal mit ewido scannen, ich verstehe nicht, wieso du alles ignoriert anstatt geloescht hast !!!!
poste dann den neuen Scanreport.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2006, 00:04
ebse
...neu hier

Themenstarter

Beiträge: 5
#7 ich war wohl etwas zu vorsichtig. ich hab jetzt alles gefundene mit ewido entfernt.
hier das logfile und das letzte hijackthis-log:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 00:03:45, 01.06.2006
+ Report-Checksumme: B44AF8B4

+ Scanergebnis:

[780] C:\WINNT\Slave.exe -> Not-A-Virus.RemoteAdmin.Win32.RA.433 : Gesäubert mit Backup
C:\!KillBox\pppcgm.exe -> Adware.Msnagent : Gesäubert mit Backup
C:\Dokumente und Einstellungen\BVI1\Cookies\bvi1@oewabox[1].txt -> TrackingCookie.Oewabox : Gesäubert mit Backup
C:\WINNT\Slave.exe -> Not-A-Virus.RemoteAdmin.Win32.RA.433 : Gesäubert mit Backup
C:\WINNT\system32\cswdt.exe -> Downloader.Agent.uj : Gesäubert mit Backup


::Report Ende
--------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 00:04:39, on 01.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINNT\System32\gearsec.exe
F:\Programme\ahead\InCD\InCDsrv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINNT\Dit.exe
C:\WINNT\DitExp.exe
F:\Programme\ahead\InCD\InCD.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Logi_MwX.Exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\Programme\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
F:\Programme\Adobe\Distillr\AcroTray.exe
F:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\BVI1\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\adobe\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] F:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "F:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [UIWatcher] F:\Programme\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/15bc51aa2aa92cd20206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134324262914
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92E40D89-AE51-4209-BC2C-CFB62A4F4D19}: NameServer = 195.34.133.21,195.34.133.22
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: gearsec - GEAR Software - C:\WINNT\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Programme\ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINNT\Slave.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
-------------------------------------------------------------------

danke, grüsse, ebse
Seitenanfang Seitenende
01.06.2006, 10:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es ist alles wieder o.k. ;)

(fixe noch mit dem HijackThis)
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINNT\Slave.exe (file missing)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2006, 12:59
ebse
...neu hier

Themenstarter

Beiträge: 5
#9 hallo sabina,
das ist fast zu schön um wahr zu sein! ich hab mich schon alles neu aufsetzen sehen - eine horrorvision.

ganz herzlichen dank für deine geduld und die anschauliche anleitung.

jetzt werd ich erst mal alles updaten und hoffe, ich bleib ne weile verschont.

liebe grüsse, ebse
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1