Home » Viren, Trojaner & Malware Forum » Probleme mit YazzleActiveX » Themenansicht

Probleme mit YazzleActiveX
#0
13.06.2006, 09:18
Sam Fisher
Member

Beiträge: 11
#1 Hallo....

hatte neulich probleme mit der NewDotNet Malware.Als dies dank Sabina behoben war dachte ich das ich erstmal ruhe vor dem Schei... habe.Doch allerdings bemerkte ich das ich immernoch bedenkliche geschwindigkeitsprobleme beim booten und beim aufbau meiner ISDN Verbindung habe.Als ich Hijackthis laufen lies bemerkte ich eine Zeile die YazzleActiveX verwies.........hmmmm dank Google sah ich das dies auch wieder Malware ist jetzt hoffe ich wieder einmal auf eure Hilfe.

MFG Sam Fisher

Logfile of HijackThis v1.99.1
Scan saved at 09:11:28, on 13.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\Programme\Drive Image\Agent\PQV2iSvc.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
G:\Programme\Samrtsurfer\SmartSurfer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
G:\Install_programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144083530203
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E27FF02-BCAC-4AED-B99D-B66B1885FF54}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\TuneUP\WinStylerThemeSvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - G:\Programme\Drive Image\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
13.06.2006, 18:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Sam Fisher

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.06.2006, 20:56
Sam Fisher
Member

Themenstarter

Beiträge: 11
#3 Hi.....

hier die datfind daten

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4E4-5279

Verzeichnis von C:\WINDOWS\system32

13.06.2006 20:40 35.986 vsconfig.xml
09.06.2006 20:01 2.400 wpa.dbl
27.05.2006 19:24 11.870 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
27.05.2006 19:24 11.880 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
27.05.2006 17:26 8.464 sporder.dll
26.05.2006 08:46 79 qaz
03.05.2006 21:26 5.818.784 MRT.exe
25.04.2006 20:02 116.560 FNTCACHE.DAT
21.04.2006 16:26 50.183 nvapps.xml
03.04.2006 09:41 311.604 perfh009.dat
03.04.2006 09:41 316.594 perfh007.dat
03.04.2006 09:41 39.992 perfc009.dat
03.04.2006 09:41 48.156 perfc007.dat
03.04.2006 09:41 723.744 PerfStringBackup.INI
23.03.2006 10:38 98.304 CmdLineExt.dll
22.03.2006 12:59 2.116.992 TUKernel.exe
18.03.2006 21:54 109 ninja_patch.cfg
16.03.2006 21:12 10.500 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
16.03.2006 18:37 34 oeminfo.ini
13.03.2006 21:07 23.392 nscompat.tlb
13.03.2006 21:07 16.832 amcompat.tlb
13.03.2006 21:06 4.212 zllictbl.dat
13.03.2006 20:30 1.816 ModemLog_AVM ISDN Custom Config.txt
12.03.2006 14:16 2.400 wpa.bak
12.03.2006 13:55 25.065 wmpscheme.xml
12.03.2006 13:31 778 $winnt$.inf
12.03.2006 13:29 2.951 CONFIG.NT
12.03.2006 13:27 488 logonui.exe.manifest
12.03.2006 13:27 488 WindowsLogon.manifest
12.03.2006 13:27 749 wuaucpl.cpl.manifest
12.03.2006 13:27 749 cdplayer.exe.manifest
12.03.2006 13:27 749 nwc.cpl.manifest
12.03.2006 13:27 749 ncpa.cpl.manifest
12.03.2006 13:27 749 sapi.cpl.manifest
12.03.2006 13:26 21.740 emptyregdb.dat
12.03.2006 04:24 0 h323log.txt
09.03.2006 15:29 35.840 nvcodins.dll
09.03.2006 15:29 147.456 nvcolor.exe
09.03.2006 15:29 442.368 nvappbar.exe
09.03.2006 15:29 16.960 nvdisp.nvu
09.03.2006 15:29 3.968.512 nv4_disp.dll
09.03.2006 15:29 425.984 keystone.exe
09.03.2006 15:29 7.561.216 nvcpl.dll
09.03.2006 15:29 35.840 nvcod.dll
09.03.2006 15:29 573.440 nvhwvid.dll
09.03.2006 15:29 1.466.368 nview.dll
09.03.2006 15:29 229.376 nvmccs.dll
09.03.2006 15:29 45.056 nvmccsrs.dll
09.03.2006 15:29 86.016 nvmctray.dll
09.03.2006 15:29 286.720 nvnt4cpl.dll
09.03.2006 15:29 5.419.008 nvoglnt.dll
09.03.2006 15:29 466.944 nvshell.dll
09.03.2006 15:29 143.436 nvsvc32.exe
09.03.2006 15:29 73.728 nvtuicpl.cpl
09.03.2006 15:29 81.920 nvwddi.dll
09.03.2006 15:29 1.662.976 nvwdmcpl.dll
09.03.2006 15:29 1.019.904 nvwimg.dll
09.03.2006 15:29 98.304 nvapi.dll
09.03.2006 15:29 1.339.392 nvdspsch.exe
09.03.2006 15:29 1.519.616 nwiz.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4E4-5279

Verzeichnis von C:\WINDOWS

13.06.2006 20:48 1.331.620 WindowsUpdate.log
13.06.2006 20:40 0 0.log
13.06.2006 20:39 157 wiadebug.log
13.06.2006 20:39 50 wiaservc.log
13.06.2006 20:38 2.048 bootstat.dat
13.06.2006 09:06 178.432 ntbtlog.txt
13.06.2006 09:05 356 setupact.log
07.06.2006 20:55 16.081 setupapi.log
03.06.2006 15:16 282 lexstat.ini
28.05.2006 19:07 7.874 xpsp1hfm.log
28.05.2006 19:07 2.872 iis6.log
28.05.2006 19:07 5.994 comsetup.log
28.05.2006 19:07 7.044 tsoc.log
28.05.2006 19:07 1.374 imsins.log
28.05.2006 19:07 3.651 ntdtcsetup.log
28.05.2006 19:07 16.133 KB828741.log
28.05.2006 19:07 636 ocmsn.log
28.05.2006 19:07 7.440 ocgen.log
28.05.2006 19:07 906 msgsocm.log
28.05.2006 19:07 18.546 FaxSetup.log
28.05.2006 19:06 1.374 imsins.BAK
28.05.2006 19:06 10.396 KB835732.log
28.05.2006 19:06 5.075 KB834707-IE6-20040929.115007.log
26.05.2006 19:31 0 setuperr.log
26.05.2006 18:11 227 system.ini
26.05.2006 18:11 599 win.ini
21.04.2006 16:50 1.574.387 setupapi.log.0.old
30.03.2006 16:32 316.640 WMSysPr9.prx
23.03.2006 13:06 3.351 mozver.dat
22.03.2006 11:08 400 ODBC.INI
18.03.2006 12:41 0 nsreg.dat
18.03.2006 12:40 107.132 UninstallFirefox.exe
14.03.2006 06:56 8.168 ModemLog_NetoDragon 56K Voice Modem.txt
13.03.2006 20:19 1.970 Ascd_tmp.ini
13.03.2006 20:14 92 CMISETUP.INI
13.03.2006 20:14 26 CMCDPLAY.INI
13.03.2006 20:14 0 Wininit.ini
12.03.2006 13:31 8.192 REGLOCS.OLD
12.03.2006 13:29 0 control.ini
12.03.2006 13:28 299.552 WMSysPrx.prx
12.03.2006 13:28 4.161 ODBCINST.INI
12.03.2006 13:27 749 WindowsShell.Manifest
12.03.2006 13:26 36 vb.ini
12.03.2006 13:26 37 vbaddin.ini
12.03.2006 04:23 0 Sti_Trace.log
03.03.2003 16:25 34.304 ieuninst.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4E4-5279

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4E4-5279

Verzeichnis von C:\

13.06.2006 20:48 0 sys.txt
13.06.2006 20:48 5.177 system.txt
13.06.2006 20:48 136 systemtemp.txt
13.06.2006 20:48 90.787 system32.txt
13.06.2006 20:38 805.306.368 pagefile.sys
13.06.2006 09:11 3.616 hijackthis.log
27.05.2006 15:30 2.748 look.txt
26.05.2006 18:11 355 boot.ini
18.04.2006 17:13 12.899 fl-server-errors.log
31.03.2006 17:57 22.115 CLDMA.LOG
13.03.2006 20:26 168 setupfax.log
12.03.2006 13:29 0 MSDOS.SYS
12.03.2006 13:29 0 IO.SYS
12.03.2006 13:29 0 CONFIG.SYS
12.03.2006 13:29 0 AUTOEXEC.BAT
23.01.2006 15:36 429 datFind.bat
17.08.2001 21:00 4.952 bootfont.bin
17.08.2001 21:00 45.124 NTDETECT.COM
17.08.2001 21:00 224.032 ntldr
19 Datei(en) 805.718.906 Bytes
0 Verzeichnis(se), 11.779.588.096 Bytes frei


10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4E4-5279

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.05.2005 04:19 293 muweb.inf
02.12.2005 12:55 5.101 swflash.inf
2 Datei(en) 5.394 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 5.394 Bytes
0 Verzeichnis(se), 11.779.383.296 Bytes frei
Seitenanfang Seitenende
13.06.2006, 21:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Fixe mit dem HijackThis:

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

2.
neustarten

3.
C:\WINDOWS\system32\sporder.dll -> loeschen

4.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 20:40
Sam Fisher
Member

Themenstarter

Beiträge: 11
#5 Hallo....

habe alles ausgeführt und hier ist der Panda Report


Incident Status Location

Adware:Adware/Adservice Not disinfected C:\!KillBox\AdService.bat
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\5j7y2fst.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\5j7y2fst.default\cookies.txt[.valueclick.com/]
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\5j7y2fst.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/SexList Not disinfected C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\5j7y2fst.default\cookies.txt[.sexlist.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\5j7y2fst.default\cookies.txt[.advertising.com/]
Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Christian\Desktop\NewDotProblem\hijackthis_199\backups\backup-20060527-170506-437.dll
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5j7y2fst.default\Cache\633285D9d01[SmitfraudFix/Process.exe]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Claudia\Anwendungsdaten\Mozilla\Firefox\Profiles\wg5wj245.default\cookies.txt[.advertising.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Claudia\Anwendungsdaten\Mozilla\Firefox\Profiles\wg5wj245.default\cookies.txt[.microsofteup.112.2o7.net/]


Potentially unwanted tool:Application/Processor Not disinfected G:\Install_programme\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected G:\Install_programme\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Seitenanfang Seitenende
15.06.2006, 20:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 leere die Killbox: C:\!KillBox\

loesche das backup
C:\Dokumente und Einstellungen\Christian\Desktop\NewDotProblem\hijackthis_199\backups\backup-20060527-170506-437.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2006, 20:27
Sam Fisher
Member

Themenstarter

Beiträge: 11
#7 ....und das war dann alles !!??
Seitenanfang Seitenende
17.06.2006, 00:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ja, das war alles. Willst du mehr reinigen ? ;) es ist nur nichts mehr da, was zu reinigen ware ! ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1