steam.exe setzt sich in c:\ fest

#0
15.06.2006, 15:07
Member

Beiträge: 15
#1 Hallo!

Nachdem ich in den letzten Tagen immer wieder von Programmabstürzen geplagt worden bin, habe ich verschiedene Trojaner ausmachen und wohl auch entfernen können. Eine der Dateien, die ich stark im Verdacht habe, mit den Problemen zusammenzuhängen ist jedoch schon wieder da. Es handelt sich dabei um steam.exe, die sich direkt im Hauptverzeichnis c:\ befindet. Da ich, soweit ich weiß, kein Spiel besitze, dass mit Steam zum Kopierschutz arbeitet, halte ich diese Datei für bedenklich und wollte fragen, ob ich damit richtig liege oder ob vielleicht mit meinem System doch alles in Ordnung ist.

MfG Thymon

P.S. Hier nun die verschiedenen Logs:

Logfile of HijackThis v1.99.1
Scan saved at 15:02:59, on 15.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\services.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\StartupMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - Global Startup: InterCheck Monitor.lnk = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{593DD3D0-B1EC-4A15-A917-9912E38AB7CB}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: 61566 - Unknown owner - \\82.82.86.126\Admin$\eraseme_65237.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\WINNT\system32

15.06.2006 13:49 41.198 vsconfig.xml
15.06.2006 13:43 3.615 MRT.INI
14.06.2006 11:54 233.576 FNTCACHE.DAT
11.06.2006 15:12 16.384 Perflib_Perfdata_4d8.dat
11.06.2006 15:12 16.384 Perflib_Perfdata_3fc.dat
11.06.2006 15:11 16.384 Perflib_Perfdata_2b8.dat
10.06.2006 10:32 16.384 Perflib_Perfdata_2d4.dat
10.06.2006 10:31 16.384 Perflib_Perfdata_3f4.dat
10.06.2006 10:31 16.384 Perflib_Perfdata_2b4.dat
10.06.2006 10:22 16.384 Perflib_Perfdata_5a0.dat
10.06.2006 10:21 16.384 Perflib_Perfdata_424.dat
10.06.2006 10:21 16.384 Perflib_Perfdata_3d8.dat
10.06.2006 09:49 16.384 Perflib_Perfdata_594.dat
10.06.2006 09:49 16.384 Perflib_Perfdata_3ec.dat
10.06.2006 09:48 16.384 Perflib_Perfdata_488.dat
09.06.2006 03:19 5.967.776 MRT.exe
02.06.2006 17:19 16.384 Perflib_Perfdata_6bc.dat
02.06.2006 17:19 16.384 Perflib_Perfdata_3a8.dat
26.05.2006 15:49 1.339.904 SHDOCVW.DLL
19.05.2006 16:08 2.702.848 MSHTML.DLL
17.05.2006 11:43 465.864 jscript.dll
15.05.2006 11:14 161.040 rasmans.dll
08.05.2006 12:30 463.360 URLMON.DLL
03.05.2006 08:57 291.840 sp3res.dll
28.04.2006 15:08 582.144 WININET.DLL
28.04.2006 10:58 12.288 JSPROXY.DLL
28.04.2006 10:57 351.744 DXTMSFT.DLL
25.04.2006 21:01 15.072 spmsg.dll
24.04.2006 15:40 4.730.880 wmp.dll
23.04.2006 10:00 153.872 msdtcui.dll
23.04.2006 10:00 1.202.448 msdtctm.dll
23.04.2006 10:00 740.112 msdtcprx.dll
23.04.2006 10:00 96.016 msdtclog.dll
23.04.2006 10:00 20.240 xolehlp.dll
23.04.2006 10:00 52.496 mtxclu.dll
23.04.2006 10:00 123.152 mtxoci.dll
13.04.2006 07:16 437.008 rpcrt4.dll
01.04.2006 12:50 4.212 zllictbl.dat
25.03.2006 02:07 98.304 CmdLineExt.dll
23.03.2006 22:23 2.386.192 SHELL32.DLL
18.03.2006 11:51 21.264 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\DOKUME~1\Alfred\LOKALE~1\Temp

15.06.2006 13:49 16.384 ~DFBB84.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 80.811.433.984 Bytes frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\WINNT

15.06.2006 13:48 1.189.212 WindowsUpdate.log
15.06.2006 13:48 3.793 spupdsvc.log
15.06.2006 13:46 32.628 SchedLgU.Txt
15.06.2006 13:43 720.907 iis5.log
15.06.2006 13:43 1.410 imsins.log
15.06.2006 13:43 285.529 comsetup.log
15.06.2006 13:43 17.500 KB917953.log
15.06.2006 13:43 271.139 ocgen.log
15.06.2006 13:43 20.473 ockodak.log
15.06.2006 13:42 1.429 imsins.BAK
15.06.2006 13:42 9.084 KB916281-IE6SP1-20060526.162249.log
15.06.2006 13:42 73.628 updspapi.log
15.06.2006 13:42 14.990 KB917736.log
15.06.2006 13:42 14.396 KB911280.log
15.06.2006 13:42 14.090 KB914389.log
15.06.2006 13:42 4.742 KB917734.log
15.06.2006 13:42 163.828 wmsetup.log
15.06.2006 04:21 132 winamp.ini
14.06.2006 11:56 642.593 setupapi.log
13.06.2006 03:53 6.577 mozver.dat
12.06.2006 21:51 79.360 services.exe
15.05.2006 20:31 16.989 KB913580.log
15.05.2006 15:12 50.463 cdplayer.ini
27.04.2006 23:46 16.257 KB908531.log
27.04.2006 23:45 27.557 MDAC28-KB911562-x86-DEU.log
27.04.2006 23:45 7.290 KB912812-IE6SP1-20060322.182418.log
27.04.2006 23:45 5.423 KB911567-OE6SP1-20060316.165634.log
25.03.2006 21:33 128.109 Chattreffen Punktez„hler 2.jpg
25.03.2006 01:52 57.448 Directx.log


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: D074-852C

Verzeichnis von C:\

15.06.2006 15:06 0 sys.txt
15.06.2006 15:05 11.644 system.txt
15.06.2006 15:05 301 systemtemp.txt
15.06.2006 15:04 95.309 system32.txt
15.06.2006 13:47 3.221.225.472 pagefile.sys
15.06.2006 13:44 42.496 steam.exe
03.05.2006 01:19 161 WWPunkteRechnenBenutzer1.txt
03.05.2006 01:19 210 WWPunkteDatenBenutzer1.txt
03.05.2006 01:19 51 WWPunktePetraBenutzer1.txt
03.05.2006 01:18 0 WWPunktePetraBenutzer2.txt
03.05.2006 01:18 0 WWPunkteDatenBenutzer2.txt
03.05.2006 01:18 0 WWPunkteEinkaufsliste.txt
03.05.2006 01:18 0 WWPunkteRezepte.txt
03.05.2006 01:18 150 WWPunkteRechnenBenutzer2.txt
27.04.2006 23:27 6.992 YServer.txt
Seitenanfang Seitenende
15.06.2006, 15:58
Moderator

Beiträge: 7805
#2 Du kannst die Datei ja bei Jotti oder www.virustotal.com/vt pruefen lassen, aber da du immer noch einige aktive ..Bots zu haben scheinst incl. einem nicht geschuetztem System, welches dir immer wieder neue Bots beschaeren wird, solltest du in erwaegung ziehen, dein System neu aufzusetzten, auf jeden Fall alle Passworte wechseln und u.a mit Hilfe von www.dingens.org dein System besser absichern.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2006, 16:42
Member

Themenstarter

Beiträge: 15
#3 Hallo, vielen Dank erst einmal für die schnelle Antwort!

Jotti hat über steam.exe folgendes zu sagen:

File: steam.exe
Status: INFECTED/MALWARE
MD5 32619c312ff1ea2fed63ccc7d589d0db
Packers detected:
-
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found GenPack:Trojan.Downloader.Adload.BK
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/TrojanDownloader.Adload.NAI
Norman Virus Control Found nothing
UNA Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Dem entnehme ich, dass es sich wirklich um eine Datei handelt, die ich lieber nicht auf dem Rechner hätte. Aber wie bekomme ich sie dauerhaft weg? Die Systemneuaufsetzung als radikalsten Schritt würde ich nach Möglichkeit gern vermeiden wollen.

MfG Thymon
Seitenanfang Seitenende
15.06.2006, 17:42
Moderator

Beiträge: 7805
#4 Schicke die Datei bitte einmal an virus@protecus.de .


Garantie gebe ich dir keine, ob das gut geht, oder nicht. Besonders, da ich denke, das du den Rechner fuer gewerbliche Zwecke nutzt( Normalsterbliche nutzen selten Sophos).

Du solltest folgende Dinge im abgesicherten Modus "fixen"

O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O23 - Service: 61566 - Unknown owner - \\82.82.86.126\Admin$\eraseme_65237.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe

Du solltest ebenfalls im abgesicherten Modus Cureit nutzen: http://virus-protect.org/cureit.html

Poste bitte den gesamten Report von Cureit und nach einem Neustart auch ein aktuelles Hijackthis log.
BTW: Dein Zonealarm ist noch aktiv?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2006, 17:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 12.06.2006 21:51 79.360 services.exe

sollte auch mal ueberprueft werden ;)

dieser Virus erstellt auch einen Dienst, der geloescht werden muss ,

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2006, 18:06
Moderator

Beiträge: 7805
#6 Ist einer der mehreren ..bots auf dem Rechner.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.06.2006, 23:08
Member

Themenstarter

Beiträge: 15
#7

Zitat

raman postete
Schicke die Datei bitte einmal an virus@protecus.de .
Ok, die Datei sollte jetzt bei dir sein.

Zitat

raman postete
Garantie gebe ich dir keine, ob das gut geht, oder nicht. Besonders, da ich denke, dass du den Rechner fuer gewerbliche Zwecke nutzt (Normalsterbliche nutzen selten Sophos).
Ich benutze ihn nur privat. Ein Freund hat mir Zugangsdaten verraten, um das Sophos, das sie an der Uni benutzen, auch zu benutzen.

Zitat

raman postete
BTW: Dein Zonealarm ist noch aktiv?
Ja, Zonealarm ist noch aktiv.


Dann bemühe ich mich mal, euren Anweisungen Folge zu leisten.
Herzlichen Dank für eure Vorschläge!
Mfg Thymon



Edit:
So, nun, drei Stunden später, habe ich wohl alles Verlangte beisammen.

Hier erst einmal die Ergebnisse von CureIt:

BlackBox.class-73b125b5-1717d56b.class C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file Trojan.ClassLoader Umbenannt.
Dummy.class-2bfc9e10-53f14eb8.class C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file Trojan.NoCheat.240 Umbenannt.


Dann das aktuelle HijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 02:14:30, on 16.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\services.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\StartupMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet
Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet
Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home
Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe
Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard -
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
- C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor -
{B56A7D7D-6927-48C8-A975-17DF180C71AC} -
C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
- C:\Programme\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone
Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: InterCheck Monitor.lnk = C:\Programme\Sophos
SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk =
C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &MyToolBar Search -
res://C:\Programme\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM

O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor -
{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger -
{4528BBE0-4E08-11D5-AD55-00010333D0AD} -
C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -
{4528BBE0-4E08-11D5-AD55-00010333D0AD} -
C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren -
{92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter
Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 -
HKLM\System\CCS\Services\Tcpip\..\{593DD3D0-B1EC-4A15-A917-9912E38
AB7CB}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -
C:\WINNT\system32\ati2sgag.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc -
C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer
Datenträger (dmadmin) - VERITAS Software Corp. -
C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -
Macrovision Corporation - C:\Programme\Gemeinsame
Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools
Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc -
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc -
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs,
LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler
Service) - Unknown owner - C:\WINNT\services.exe



Und schließlich noch POST-THIS.TXT:

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows 2000 Professional
Version: 5.0.2195 Service Pack 4
Jun 16, 2006 02:02:14


---> Begin Service Listing <---

Unknown Service # 1
Service Name: 61566
Display Name: 61566
Start Mode: Disabled
Start Name: LocalSystem
Description: 61566...
Service Type: Share Process
Path: \\82.82.86.126\admin$\eraseme_65237.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch



Unknown Service # 8
Service Name: Network Monitor
Display Name: Network Monitor
Start Mode: Auto
Start Name: LocalSystem
Description: Network ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch





Unknown Service # 13
Service Name: Windows Spooler Service
Display Name: Microsoft Windows Spooler Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Windows Spooler ...
Service Type: Own Process
Path: "c:\winnt\services.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 71 Win32 services on this machine.
13 were unrecognized.

Script Execution Time: 3,515137 seconds.


Bewundernswert, dass es Leute gibt, die mit diesen Informationen etwas anfangen können. Na ja, mir bleibt jetzt einstweilen nur noch, mich wieder für die Mühen zu bedanken, die ihr auf euch nehmt, um mir zu helfen, und allseits eine gute Nacht zu wünschen.

MfG Thymon
Dieser Beitrag wurde am 16.06.2006 um 02:19 Uhr von Thymon editiert.
Seitenanfang Seitenende
16.06.2006, 11:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

eraseme_65237.exe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

gleiches mache mit:

Microsoft Windows Spooler

Windows Spooler Service

Network Monitor


ToolBar888
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2006, 13:16
Member

Themenstarter

Beiträge: 15
#9 Okay, also hier die Berichte von Registry Search:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.06.2006 13:09:16 for strings:
; '
eraseme_65237.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.06.2006 13:11:17 for strings:
; 'microsoft windows spooler'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.06.2006 13:12:59 for strings:
; 'windows spooler service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"Service"="Windows Spooler Service"
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000\Control]
"ActiveService"="Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"Service"="Windows Spooler Service"
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"Service"="Windows Spooler Service"
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000\Control]
"ActiveService"="Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service\Enum]

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.06.2006 13:14:12 for strings:
; 'network monitor'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"Service"="Network Monitor"
"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"Service"="Network Monitor"
"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
"Service"="Network Monitor"
"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]
"DisplayName"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum]

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.06.2006 13:15:24 for strings:
; 'toolbar888'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}]
@="ToolBar888"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32]
@="C:\\Programme\\ToolBar888\\MyToolBar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj]
@="ToolBar888"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1]
@="ToolBar888"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0]
@="ToolBar888 1.0 Type Library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32]
@="C:\\Programme\\ToolBar888\\MyToolBar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR]
@="C:\\Programme\\ToolBar888\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888]
"DisplayName"="ToolBar888"
"UninstallString"="C:\\Programme\\ToolBar888\\Uninst.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\MenuExt\&MyToolBar Search]
@="res://C:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM"

[HKEY_USERS\S-1-5-21-854245398-261478967-725345543-1001\Software\Microsoft\Internet Explorer\MenuExt\&MyToolBar Search]
@="res://C:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM"

; End Of The Log...

MfG Thymon
Seitenanfang Seitenende
16.06.2006, 13:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 **
Search by Bobbi Flekman
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

82.82.86.126

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------

1.
Gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_USERS\S-1-5-21-854245398-261478967-725345543-1001\Software\Microsoft\Internet Explorer\MenuExt\&MyToolBar Search]

@="res://C:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM" <--loeschen

---------------------------------------------------------------------------------------------
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888

Files to delete:
C:\WINNT\system32\drivers\netpt.sys
C:\WINNT\uninstall_nmon.vbs
C:\Programme\Network Monitor\netmon.exe
C:\steam.exe
C:\WINNT\services.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste das log vom Avenger, was erscheint

**
4.
deinstalliere /loesche:
C:\Programme\ToolBar888
C:\Programme\Network Monitor

**
5.
scanne mit Kaspersky und danach mit panda und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2006, 14:13
Member

Themenstarter

Beiträge: 15
#11 So, erst einmal die ersten Anweisungen:

Zitat

Sabina postete
82.82.86.126

Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.06.2006 14:07:36 for strings:
; '82.82.86.126'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\61566]
; Contents of value:
; \\82.82.86.126\admin$\eraseme_65237.exe
"ImagePath"=hex(2):5c,5c,38,32,2e,38,32,2e,38,36,2e,31,32,36,5c,41,64,6d,69,6e,\
24,5c,65,72,61,73,65,6d,65,5f,36,35,32,33,37,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\61566]
; Contents of value:
; \\82.82.86.126\admin$\eraseme_65237.exe
"ImagePath"=hex(2):5c,5c,38,32,2e,38,32,2e,38,36,2e,31,32,36,5c,41,64,6d,69,6e,\
24,5c,65,72,61,73,65,6d,65,5f,36,35,32,33,37,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566]
; Contents of value:
; \\82.82.86.126\admin$\eraseme_65237.exe
"ImagePath"=hex(2):5c,5c,38,32,2e,38,32,2e,38,36,2e,31,32,36,5c,41,64,6d,69,6e,\
24,5c,65,72,61,73,65,6d,65,5f,36,35,32,33,37,2e,65,78,65,00

; End Of The Log...

Zitat

Sabina postete
1.
Gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_USERS\S-1-5-21-854245398-261478967-725345543-1001\Software\Microsoft\Internet Explorer\MenuExt\&MyToolBar Search]

@="res://C:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM" <--loeschen
Erledigt.

MfG Thymon


Edit:

Weiter geht's.

Zitat

Sabina postete
2.
Avenger
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
Erledigt.


Zitat

Sabina postete
3.
poste das log vom Avenger, was erscheint
War etwas komplizierter als es zunächst den Anschein hatte, aber schließlich habe ich doch ein Logfile bekommen, hier:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\udioaowa

*******************

Script file located at: \??\C:\WINNT\system32\upjkyxex.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
Status: 0xc0000034



File C:\WINNT\system32\drivers\netpt.sys not found!
Deletion of file C:\WINNT\system32\drivers\netpt.sys failed!

Could not process line:
C:\WINNT\system32\drivers\netpt.sys
Status: 0xc0000034

File C:\WINNT\uninstall_nmon.vbs deleted successfully.
File C:\steam.exe deleted successfully.
File C:\WINNT\services.exe deleted successfully.
Deletion of file C:\Programme\Network Monitor\netmon.exe failed!
Status: 0xc000014f
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\0\win32 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0\HELPDIR failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Zitat

Sabina postete
4.
deinstalliere /loesche:
C:\Programme\ToolBar888
C:\Programme\Network Monitor
ToolBar888 - erledigt.
Network Monitor - habe ich gar nicht gefunden, nicht in Programme, nicht in Dokumente und Einstellungen, nicht in WinNT.

MfG Thymon
Dieser Beitrag wurde am 16.06.2006 um 14:54 Uhr von Thymon editiert.
Seitenanfang Seitenende
16.06.2006, 17:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 kopiere in den Avenger:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\61566
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\61566
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566
gruene Ampel - PC neustarten - Log posten

**
scanne mit Kaspersky und danach mit panda und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2006, 19:06
Member

Themenstarter

Beiträge: 15
#13 So, hier erst einmal das nächste Logfile von Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yykpnygv

*******************

Script file located at: \??\C:\WINNT\system32\uyhdbnif.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\61566 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\61566 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\61566
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Bisher haben mich weder Kaspersky noch Panda einen kompletten Check durchführen lassen. Kaspersky hängt sich noch während des Updateprozesses mit Fehlermeldung auf, Panda stockt bei einer Datei des DLH98 (die ich jetzt versuchsweise einmal gelöscht habe). Aber ich versuche es noch mal.

MfG Thymon
Seitenanfang Seitenende
17.06.2006, 00:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Multi_AV
http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier

----------

scanne auch mit Sophos und Kaspersky,Trend Micro ...schau die Anleitung auf der Seite
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.06.2006, 00:28
Member

Themenstarter

Beiträge: 15
#15 So, der Kasperskycheck ist jetzt durch, hier das Ergebnis:

KASPERSKY ON-LINE SCANNER REPORT
Saturday, June 17, 2006 12:15:06 AM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 16/06/2006
Kaspersky Anti-Virus database records: 189012


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\

Scan Statistics
Total number of scanned objects 130093
Number of viruses found 5
Number of infected objects 12
Number of suspicious objects 0
Duration of the scan process 02:05:23

Infected Object Name Virus Name Last Action
C:\avenger\backup-Fr 16.06.2006-14.37.32,01.zip/avenger/steam.exe Infected: Trojan-Downloader.Win32.Adload.cd skipped

C:\avenger\backup-Fr 16.06.2006-14.37.32,01.zip ZIP: infected - 1 skipped

C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68c58dc2-45904368.zip/binny/binny.class Infected: Trojan.Java.Binny.a skipped

C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68c58dc2-45904368.zip ZIP: infected - 1 skipped

C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped

C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj skipped

C:\Dokumente und Einstellungen\Alfred\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-5d45dd39-18136343.zip ZIP: infected - 2 skipped

C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[1].exe Infected: Trojan-Downloader.Win32.Adload.cd skipped

C:\Dokumente und Einstellungen\Alfred\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1EVKTUB\de[2].exe Infected: Trojan-Downloader.Win32.Adload.cd skipped

C:\Programme\DLH98\0204.dlm/idx-bfviep3101/idx-bfviep3.1.01.exe Infected: Trojan-Dropper.Win32.Agent.hz skipped

C:\Programme\DLH98\0204.dlm RAR: infected - 1 skipped

C:\WINNT\Оracle\fast.exe Infected: Trojan-Downloader.Win32.PurityScan.cl skipped

Scan process completed.

MfG Thymon
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: