WinAntivirus Pro 2006 Trojaner erzeugt regelmässig Popup Fenster

#1 Hallo allz,

mich nervt seit einigen Tagen "Winantivirus pro 2006", das sich beim Surfen in meinem browser regelmässig öffnet und zum download auffordert (was ich natürlich nicht getan habe).
ich habe hijackthis heruntergeladen und so sieht mein logfile aus, weiterhin habe ich datFind.bat ausgeführt und die Infos beigefügt:


Volume in Laufwerk C: hat keine Bezeichnung.

Verzeichnis von c:\

22.06.2006 19:19 0 dirdat.txt
22.06.2006 19:11 19.515 t2lg.zip
22.06.2006 19:06 1.170 c.txt
22.06.2006 19:06 11.529 windows.txt
22.06.2006 19:05 131 temp.txt
22.06.2006 19:05 111.078 system32.txt
22.06.2006 14:18 267.968.512 hiberfil.sys
22.06.2006 14:18 402.653.184 pagefile.sys

Verzeichnis von C:\WINDOWS\system32

22.06.2006 19:12 29.184 jvienfg.dll
22.06.2006 14:18 16 magicpvt.dat
22.06.2006 08:44 29.184 graf866.dll
22.06.2006 08:44 57.344 khhhe.exe
22.06.2006 08:19 14.349 xxwutrq.dll
22.06.2006 08:01 14.349 fcyvwvt.dll
19.06.2006 09:28 45 initdebug.nfo
17.06.2006 20:34 21.840 SIntfNT.dll
17.06.2006 20:34 17.212 SIntf32.dll
17.06.2006 20:34 12.067 SIntf16.dll
15.06.2006 14:04 2.206 wpa.dbl
14.06.2006 10:35 32 driver.dat
06.06.2006 17:17 10.281 QuickTime.qtp
06.06.2006 17:15 10.037 QuickTimeFavorites.qtr

Verzeichnis von C:\WINDOWS

22.06.2006 19:16 218.600 setupapi.log
22.06.2006 14:18 0 0.log
22.06.2006 14:18 159 wiadebug.log
22.06.2006 14:18 50 wiaservc.log
22.06.2006 14:18 2.048 bootstat.dat
22.06.2006 13:21 32.564 SchedLgU.Txt
22.06.2006 11:32 192 Winamp.ini
02.06.2006 01:36 381 KTEL.INI
21.05.2006 12:06 180 Clony2.ini
21.05.2006 10:41 1.000 win.ini
18.05.2006 12:02 209.074 Windows Update.log
11.05.2006 15:12 263.369 wmsetup.log
03.05.2006 12:13 247.702 setupact.log

Verzeichnis von C:\DOKUME~1\ron\LOKALE~1\Temp


Logfile of HijackThis v1.99.1
Scan saved at 19:29:48, on 22.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetDrive\wdservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Popup Ad Filter\PopFilter.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\myname\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: (no name) - {f36e8ef8-a6da-41e0-8427-75bbc8564za8} - C:\WINDOWS\System32\jvienfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9088923} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoloSentry] C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [washindex] C:\Programme\washer\washidx.exe "ron"
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [washindex] C:\Programme\washer\washidx.exe "ron"
O4 - Startup: Reminder 99.lnk = C:\Programme\Reminder 99\remind99.exe
O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BH7G72H} - http://www.pixaco.de/static/download/pixacodndupload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85DC2548-73T8-4ED4-J812-E9BA4EB35536}: NameServer = 192.168.1.1
O20 - Winlogon Notify: jvienfg - C:\WINDOWS\SYSTEM32\jvienfg.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdservice.exe

#2 helpme2006

1.
schreibe mir bitte, welche dll du vorfindest. (nicht anklicken !!! oder loeschen)
LSPfix
http://www.spychecker.com/program/lspfix.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "dir "C:\Dokumente und Einstellungen\myname\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\myname\Anwendungsdaten >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,
ich habe leider selbiges Problem, auch wenn ich grad noch nicht ganz weiß, wie sich das ding bei mir eingeschlichen hat....

Habe erstmal den IE blockiert, um das Problem zu unterdrücken, jetzt möchte ich es aber auch wieder loswerden.

Wie auch immer...ich habe die "listen.bat" erstellt & ausgeführt, so sieht das Ergebnis aus:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 30C8-25A6

Verzeichnis von C:\WINDOWS\Temp

27.06.2006 13:26 <DIR> .
27.06.2006 13:26 <DIR> ..
11.05.2006 20:07 <DIR> bactera
27.06.2006 12:52 0 JET9366.tmp
26.06.2006 12:34 135.168 JETA0B4.tmp
25.06.2006 17:26 327.680 JETF194.tmp
27.06.2006 12:50 16.384 Perflib_Perfdata_500.dat
20.06.2006 11:30 0 win1.tmp
20.06.2006 11:44 0 win10.tmp
21.06.2006 01:07 0 win100.tmp
27.06.2006 03:34 0 win1000.tmp
27.06.2006 03:36 0 win1001.tmp
27.06.2006 03:36 0 win1002.tmp
27.06.2006 03:36 0 win1003.tmp
27.06.2006 03:38 0 win1004.tmp
27.06.2006 03:38 0 win1005.tmp
27.06.2006 03:38 0 win1006.tmp
27.06.2006 03:40 0 win1007.tmp
27.06.2006 03:40 0 win1008.tmp
27.06.2006 03:40 0 win1009.tmp
27.06.2006 03:42 0 win100A.tmp
27.06.2006 03:42 0 win100B.tmp

edit...............

#4 phipser

gehe in C:\WINDOWS\Temp

und loesche ALLE

20.06.2006 11:30 0 win1.tmp
20.06.2006 11:44 0 win10.tmp
21.06.2006 01:07 0 win100.tmp
27.06.2006 03:34 0 win1000.tmp
usw.
usw....

dann poste die listen.bat noch einmal
-----------------

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi
Auch ich bin mit dem lästigen Trojaner am Kämpfen.

Meine Einträge sehen wie folgt aus:

Einträge aus Hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 07:34:55, on 30.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Alex\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Lamp] "C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BPS Security Console] C:\Programme\BulletProofSoft.com\BPS Security Console\SecCon.exe
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146128314364
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146129019494
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Und das mit dem Listen.bat habe ich auch ausgeführt. Folgendes kommt dabei heraus:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC49-87C8

Verzeichnis von C:\WINDOWS\Temp

30.06.2006 07:19 <DIR> .
30.06.2006 07:19 <DIR> ..
27.04.2006 15:28 158 checkhw.log
27.04.2006 12:20 383 hpfpdi00.log
27.04.2006 12:20 618 hpzcon00.log
27.04.2006 12:20 417 hpzghoul00.log
27.04.2006 12:20 2'805 hpzglue00.log
27.04.2006 12:20 351 hpzpin00.log
01.06.2006 21:14 0 win1.tmp
01.06.2006 21:36 0 win10.tmp
08.06.2006 19:47 0 win100.tmp
08.06.2006 19:47 0 win101.tmp
08.06.2006 19:49 0 win102.tmp
08.06.2006 19:49 0 win103.tmp
08.06.2006 19:49 0 win104.tmp
08.06.2006 19:49 0 win105.tmp
08.06.2006 19:51 0 win106.tmp
08.06.2006 19:51 0 win107.tmp
08.06.2006 19:51 0 win108.tmp
08.06.2006 19:53 0 win109.tmp
08.06.2006 19:53 0 win10A.tmp
07.06.2006 19:55 0 win10B.tmp
07.06.2006 19:55 0 win10C.tmp
07.06.2006 19:55 0 win10D.tmp
08.06.2006 19:53 0 win10E.tmp

edit

27.04.2006 15:29 420 _pnpscan.log
1106 Datei(en) 30'200 Bytes
2 Verzeichnis(se), 54'139'957'248 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC49-87C8

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC49-87C8

Verzeichnis von C:\Programme

20.06.2006 20:49 <DIR> .
20.06.2006 20:49 <DIR> ..
27.04.2006 17:25 <DIR> Adobe
15.05.2006 18:29 <DIR> AntiVir PersonalEdition Classic
20.06.2006 20:55 <DIR> BulletProofSoft.com
27.04.2006 12:00 <DIR> CICLO
15.06.2006 20:09 <DIR> CicloTrainer
27.04.2006 10:43 <DIR> ComPlus Applications
23.06.2006 19:09 <DIR> Corel
27.04.2006 16:03 <DIR> Elaborate Bytes
30.05.2006 20:56 <DIR> Gemeinsame Dateien
30.05.2006 21:09 <DIR> Google
27.04.2006 15:28 <DIR> Hewlett-Packard
27.04.2006 12:20 <DIR> hp deskjet 930c series
15.06.2006 21:41 <DIR> Internet Explorer
27.04.2006 13:39 <DIR> KeirNet
18.06.2006 21:24 <DIR> Lavasoft
27.04.2006 11:57 <DIR> Logitech
27.04.2006 16:10 <DIR> Macromedia
28.04.2006 07:33 <DIR> Messenger
27.04.2006 10:46 <DIR> microsoft frontpage
27.04.2006 13:26 <DIR> Microsoft Office
27.04.2006 16:01 <DIR> Mindjet
27.04.2006 15:34 <DIR> MoreTV.352
27.04.2006 13:00 <DIR> Movie Maker
28.04.2006 07:06 <DIR> Mozilla Firefox
27.04.2006 10:42 <DIR> MSN
27.04.2006 10:42 <DIR> MSN Gaming Zone
27.04.2006 14:47 <DIR> Musicmatch
03.05.2006 18:17 <DIR> Nero
27.04.2006 12:58 <DIR> NetMeeting
27.04.2006 10:42 <DIR> Online Services
27.04.2006 10:44 <DIR> Online-Dienste
28.04.2006 19:11 <DIR> Outlook Express
26.05.2006 15:18 <DIR> QuickTime
07.06.2006 21:38 <DIR> RadioTracker
30.05.2006 20:56 <DIR> Real
27.04.2006 13:21 <DIR> SiS7012
27.04.2006 16:21 <DIR> TechSmith
13.06.2006 20:58 <DIR> TWIXTEL
20.05.2006 15:36 <DIR> Windows Media Player
27.04.2006 12:58 <DIR> Windows NT
27.04.2006 15:32 <DIR> WinTV
27.04.2006 12:03 <DIR> WRPSoft
27.04.2006 16:12 <DIR> WS_FTP Pro
27.04.2006 10:46 <DIR> xerox
21.05.2006 21:47 <DIR> ZKB Onba
0 Datei(en) 0 Bytes
47 Verzeichnis(se), 54'139'965'440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC49-87C8

Verzeichnis von C:\Programme\Gemeinsame Dateien

30.05.2006 20:56 <DIR> .
30.05.2006 20:56 <DIR> ..
28.04.2006 06:50 <DIR> Adobe
03.05.2006 18:17 <DIR> Ahead
27.04.2006 13:32 <DIR> Corel
23.06.2006 19:13 <DIR> Designer
27.04.2006 10:43 <DIR> Dienste
27.04.2006 14:44 <DIR> InstallShield
27.04.2006 11:57 <DIR> Logitech
27.04.2006 16:10 <DIR> Macromedia
27.04.2006 13:27 <DIR> Microsoft Shared
27.04.2006 10:43 <DIR> MSSoap
27.04.2006 11:33 <DIR> ODBC
30.05.2006 20:56 <DIR> Real
27.04.2006 11:33 <DIR> SpeechEngines
28.04.2006 19:11 <DIR> System
28.04.2006 07:06 <DIR> Vbox
27.04.2006 16:21 <DIR> Wise Installation Wizard
30.05.2006 20:56 <DIR> xing shared
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 54'139'965'440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC49-87C8

#6 abircher

mache bitte folgendes:

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

BulletProofSoft

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

4.
loesche unter Verzeichnis von C:\WINDOWS\Temp

01.06.2006 21:14 0 win1.tmp
01.06.2006 21:36 0 win10.tmp
08.06.2006 19:47 0 win100.tmp
08.06.2006 19:47 0 win101.tmp
..
usw. usw.....
alle diese win...- Eintraege
.

5.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\BulletProofSoft.com" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Sabina

Besten Dank für deine Hilfe
Zu Punkt 1: Habe die Einstellungen übernommen und laufen gelassen.
Punkt2: Habe das file 4 mal auf dem Desktop gespeichert (hat aber immer den selben Inhalt)
Datentr„ger in Laufwerk G: ist Bettina
Volumeseriennummer: 1D35-3511

Verzeichnis von G:\

19.10.2005 22:05 13'521'068 Backup-Set A.rbc
19.10.2005 21:28 22'924 Backup-Set B.rbc
2 Datei(en) 13'543'992 Bytes
0 Verzeichnis(se), 91'475'038'208 Bytes frei

Was muss ich jetzt damit tun? Sorry, in diesem Bereich bin ich recht Anfänger!

Zu Punkt 3 hier der log:
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 30.06.2006 13:37:07 for strings:
; 'bulletproofsoft'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BDGMailSafe\DefaultIcon]
@="C:\\Programme\\BulletProofSoft.com\\AdvancedPersonalFirewall\\BPSF.exe,3"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BDGMailSafe\Shell\Open\command]
@="\"C:\\Programme\\BulletProofSoft.com\\AdvancedPersonalFirewall\\BPSF.exe\" -warning \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4DF1DB23-A57C-11D3-A180-00A0C90AE44B}\1.0\0\win32]
@="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\BPSShldBHO.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4DF1DB23-A57C-11D3-A180-00A0C90AE44B}\1.0\HELPDIR]
@="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BPS Popup Shield_is1]
"Inno Setup: App Path"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield"
"InstallLocation"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\"
"Inno Setup: Icon Group"="BulletProofSoft.com\\Popup and Cookie Shield"
"DisplayIcon"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\BPSPopupShield.exe"
"UninstallString"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\unins000.exe"
"QuietUninstallString"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\unins000.exe /SILENT"
"Publisher"="BulletProofSoft.com"
"URLInfoAbout"="http://www.BulletProofSoft.com"
"HelpLink"="http://www.BulletProofSoft.com"
"URLUpdateInfo"="http://www.BulletProofSoft.com"

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BPS Security Console Toolbar\Settings\App Paths]
"PopUp"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\BPSPopupShld.exe"

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft\PopupShield]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft\PopupShield]
"Path"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield"
"SoundAlertPath"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\Sounds\\Default.wav"

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft1]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\BPS Security Console]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Data Shredder]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\PC Internet Firewall Security]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Popup and Cookie Shield]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Spyware-Adware Remover]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Spyware-Adware Remover\BPS Spyware Remover]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Win Trace Remover]

[HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"BPS Security Console"="C:\\Programme\\BulletProofSoft.com\\BPS Security Console\\SecCon.exe"

; End Of The Log...

Punkt 4: Das Verzeichnis ist leer...wohl weil ich den Clean up laufen gelassen habe?

Danke für deine Hilfe

Gruss Alex

#8 1. Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BDGMailSafe\DefaultIcon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BDGMailSafe\Shell\Open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4DF1DB23-A57C-11D3-A180-00A0C90AE44B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BPS Popup Shield_is1

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
deinstallieren:
C:\Programme\BulletProofSoft.com

**
gehe in die Registry Start -Ausfuehren - regedit
bearbeiten - suchen - BulletProofSoft
loesche alles, was du findest.

**
PC neustarten
------------------------------------------------------------------------

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Sabine

Hallo zusammen,

danke für Euere Hilfe. Leider kann ich zwecks Krankheit erst jetzt antworten.

Untenstehend wie gewünscht noch die weiteren Informationen!

Noch eien Zusatzinfo (hab ich rekapituliert): Ich muss mir zu 99,9%iger Sicherheit im Juni 2006 den Trojaner zugezogen. Wahrscheinlich über die Internetseite www Punkt cjb Punkt net - dort öffnete sich ein Popup Fenster (nachdem ich mich da mit eienr cjb.net Adresse angemeldet habe udn ein wenig rumgeklickt habe) und hat den Trojaner wahrscheinlich auf meinen PC gespeichert.

Danke im Voraus für jede Hilfe,
Gruß.

Winsock 2 Repair Utility

pnrpnsp.dll - PNRP Cloud Namespace Provider
mswsock.dll - TCP/IP
winrnr.dll - NTDS
rsvpsp.dll - (Protocol handler)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\WINDOWS\Temp

02.07.2006 12:38 <DIR> .
02.07.2006 12:38 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 12.838.162.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\Programme

22.06.2006 18:40 <DIR> .
22.06.2006 18:40 <DIR> ..
31.01.2004 17:08 <DIR> ACD Systems
04.03.2006 14:56 <DIR> Adobe
21.12.2003 15:51 <DIR> Ahead
11.02.2004 20:57 <DIR> Alcohol Soft
31.03.2004 16:29 <DIR> Alien Shooter
27.10.2004 10:46 <DIR> Altova
17.02.2004 22:55 <DIR> Anark
06.07.2005 13:22 <DIR> APDFPRP
05.03.2006 11:46 <DIR> Audiograbber
22.06.2005 19:23 <DIR> Autoruns
04.10.2005 16:54 <DIR> AVI MPEG ASF WMV Splitter
15.12.2003 07:59 <DIR> Canon
11.07.2004 16:05 <DIR> Casino
22.06.2006 18:40 <DIR> CleanUp!
29.05.2005 20:13 <DIR> CloneCD
21.12.2003 22:04 <DIR> Common Files
15.12.2003 03:49 <DIR> ComPlus Applications
23.02.2005 20:01 <DIR> coolpro2
17.01.2004 13:30 <DIR> Creative
05.03.2006 11:46 <DIR> CuteFTP Pro
17.01.2004 13:12 <DIR> CyberLink
28.12.2005 19:14 <DIR> Data Becker
05.03.2006 11:46 <DIR> DaViDeo VHS
23.12.2003 17:11 <DIR> DaViDeo-3
05.03.2006 11:46 <DIR> DaViDeo3
19.03.2005 19:35 <DIR> ddm
16.12.2003 23:29 <DIR> DFš-Speed
04.05.2006 20:23 <DIR> DivX
01.02.2004 12:02 <DIR> eBay
22.06.2006 15:30 <DIR> Express Assist
04.05.2006 11:55 <DIR> File Scavenger 3.0
07.12.2004 20:08 <DIR> FileZilla
04.03.2006 16:36 <DIR> Gemeinsame Dateien
12.03.2005 19:01 <DIR> GifArt's Button Maker
17.01.2004 13:25 <DIR> Global DiVX Player
04.05.2006 20:23 <DIR> Google
29.12.2003 13:34 <DIR> Hewlett-Packard
21.12.2003 22:36 <DIR> HighMAT CD Writing Wizard
05.03.2006 11:46 <DIR> Hood
29.05.2005 20:13 <DIR> hp deskjet 990c series
15.12.2003 05:22 <DIR> IconSaver
22.06.2006 13:12 <DIR> ICQ
07.01.2004 21:54 <DIR> ICQPlus
28.12.2003 17:33 <DIR> IEEE 802.11b WLAN Utility(USB)
07.01.2004 21:38 2.495 INSTALL.LOG
29.02.2004 15:08 <DIR> Internet Explorer
17.01.2004 13:31 <DIR> InterVideo
19.08.2005 11:56 <DIR> IrfanView
28.01.2004 14:46 <DIR> Java
05.03.2006 11:46 <DIR> jv16 PowerTools
01.02.2004 19:24 <DIR> Kazaa Lite K++
05.03.2006 11:46 <DIR> Kazaa Lite Resurrection
14.05.2004 10:05 <DIR> klickTel
21.02.2004 19:10 <DIR> Kodak
23.01.2005 18:22 <DIR> Lavasoft
02.01.2006 01:10 <DIR> LucasArts
23.04.2004 13:32 <DIR> Macromedia
23.07.2005 16:40 <DIR> MadOnion
21.01.2006 10:45 <DIR> MagicRotation
19.03.2005 19:39 <DIR> Messenger
15.12.2003 03:54 <DIR> microsoft frontpage
06.01.2004 13:26 <DIR> Microsoft Office
25.05.2006 11:48 <DIR> MonkeyIsland4
12.01.2004 11:29 <DIR> Motherboard Monitor 5
28.12.2003 17:00 <DIR> Movie Maker
18.02.2004 01:17 <DIR> MPEG Encoder
15.12.2003 03:49 <DIR> MSN
15.12.2003 03:49 <DIR> MSN Gaming Zone
08.12.2005 19:42 <DIR> NetDrive
19.03.2005 19:41 <DIR> NetMeeting
05.03.2006 11:46 <DIR> Netscape
05.05.2004 17:14 <DIR> NetTransport 2
22.06.2006 15:35 <DIR> Norton AntiVirus
05.03.2006 11:46 <DIR> Norton Internet Security Professional
06.01.2004 04:38 <DIR> NVIDIA
14.01.2004 13:06 <DIR> NVIDIA2
15.12.2003 03:49 <DIR> Online Services
15.12.2003 03:52 <DIR> Online-Dienste
04.05.2006 11:37 <DIR> Ontrack
05.03.2004 13:32 <DIR> Opera7
05.03.2006 11:46 <DIR> Outlook Express
25.02.2004 00:10 <DIR> Palace
25.03.2005 20:29 <DIR> Piranha Bytes
15.12.2003 05:31 <DIR> Popup Ad Filter
25.01.2004 12:36 <DIR> PowerDVD
14.02.2004 17:58 <DIR> QuickTime
05.03.2006 11:46 <DIR> RealOne Player
21.01.2005 20:49 <DIR> RegClean
22.06.2006 18:45 <DIR> RegCleaner
22.06.2006 15:35 <DIR> ReGetDx
02.07.2006 12:12 <DIR> Reminder 99
14.05.2004 11:10 <DIR> RufIdent
16.06.2005 22:12 <DIR> S5W
02.03.2004 16:12 <DIR> Save
06.01.2006 15:12 <DIR> SEC
23.09.2004 17:43 <DIR> Sierra Online
25.06.2004 12:06 <DIR> Skype
06.01.2004 13:25 <DIR> SmartStore Shared
06.01.2004 13:33 <DIR> SmartStore.biz
21.06.2006 16:18 <DIR> SpeedFan
22.06.2006 19:43 <DIR> SRN Micro
29.12.2003 10:31 <DIR> StartEd
27.11.2005 15:46 <DIR> SurfMusik 3.1
08.04.2006 18:31 <DIR> Symantec
23.07.2004 09:18 <DIR> SymNetDrv
03.07.2004 02:06 <DIR> teamspeak2_RC2
18.12.2005 13:24 <DIR> THQ
04.02.2005 00:44 <DIR> totalcmd
04.03.2006 16:40 <DIR> TuneUp Utilities 2006
21.05.2006 12:17 <DIR> Ubisoft
03.07.2004 00:31 <DIR> Vampirjagd
28.12.2003 16:28 <DIR> VIADMATOOL
28.12.2003 16:22 <DIR> VIAhm
17.12.2003 13:41 <DIR> Viewpoint
05.03.2006 11:46 <DIR> Virtual Dub 1.4.10
17.01.2004 03:21 <DIR> washer
17.03.2005 23:24 <DIR> Whoru Alpha
10.01.2006 15:03 <DIR> Winamp
21.12.2003 22:45 <DIR> Windows Journal Viewer
05.03.2006 11:46 <DIR> Windows Media Player
15.12.2003 05:05 <DIR> Windows Media-Komponenten
15.12.2003 05:02 <DIR> Windows NT
05.03.2006 11:47 <DIR> WinFACT 6
05.03.2006 11:46 <DIR> WinHTTrack
26.05.2006 16:33 <DIR> WinLemm
06.01.2004 01:37 <DIR> WinMX
22.06.2006 10:46 <DIR> WinRAR
23.04.2006 15:52 <DIR> WinZip
15.12.2003 03:54 <DIR> xerox
29.01.2005 17:21 <DIR> xp-AntiSpy
26.05.2005 09:53 <DIR> Yahoo!
1 Datei(en) 2.495 Bytes
132 Verzeichnis(se), 12.838.154.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\Programme\Gemeinsame Dateien

04.03.2006 16:36 <DIR> .
04.03.2006 16:36 <DIR> ..
31.01.2004 17:08 <DIR> ACD Systems
04.03.2006 14:56 <DIR> Adobe
21.12.2003 15:51 <DIR> Ahead
27.10.2004 10:46 <DIR> Altova
15.12.2003 04:18 <DIR> Designer
15.12.2003 03:51 <DIR> Dienste
06.08.2005 15:27 <DIR> InstallShield
17.01.2004 13:31 <DIR> InterVideo
28.01.2004 14:44 <DIR> Java
21.02.2004 19:10 <DIR> Kodak
23.04.2004 13:32 <DIR> Macromedia
25.02.2004 15:57 <DIR> Microsoft Shared
17.12.2003 13:41 <DIR> mozilla.org
15.12.2003 03:50 <DIR> MSSoap
31.01.2004 22:06 <DIR> NSV
15.12.2003 03:34 <DIR> ODBC
18.12.2003 15:10 <DIR> Real
18.12.2003 14:46 <DIR> ReGet Shared
06.01.2004 13:26 <DIR> SmartStore Shared
15.12.2003 03:34 <DIR> SpeechEngines
02.07.2006 12:12 <DIR> Symantec Shared
06.01.2004 02:41 <DIR> System
25.02.2005 01:35 <DIR> Vbox
19.12.2003 00:08 <DIR> Webroot Shared
04.03.2006 16:39 <DIR> Wise Installation Wizard
18.12.2003 15:10 <DIR> xing shared
0 Datei(en) 0 Bytes
28 Verzeichnis(se), 12.838.150.144 Bytes frei

#10 helpme2006

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\jvienfg.dll
C:\WINDOWS\system32\magicpvt.dat
C:\WINDOWS\system32\graf866.dll
C:\WINDOWS\system32\khhhe.exe
C:\WINDOWS\system32\xxwutrq.dll
C:\WINDOWS\system32\fcyvwvt.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {f36e8ef8-a6da-41e0-8427-75bbc8564za8} - C:\WINDOWS\System32\jvienfg.dll
O20 - Winlogon Notify: jvienfg - C:\WINDOWS\SYSTEM32\jvienfg.dll

PC neustarten

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Sabine

Erstmal danke... hier die Infos:

Nr. 1:
------

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hcqargvg

*******************

Script file located at: hewmcaed

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!



Nr. 2:
-------

Wie beschrieben erledigt.



Nr. 3:
-------

Als Textdatei im Anhang zwecks besserer Lesbarkeit.


Danke für jegliche Hilfe!

------------


Virus:Trj/Conhook.N Disinfected Operating system
Hacktool:hacktool/rootkit.d Not disinfected c:\windows\system32\klo5.sys
Adware:adware/superspider Not disinfected c:\windows\system32\system32.dll
Spyware:spyware/iehelp Not disinfected c:\windows\downloaded program files\ipreg32.inf
Adware:adware/cws.searchmeup Not disinfected c:\windows\mstasks1.exe
Spyware:spyware/new.net Not disinfected c:\windows\NDNuninstall5_48.exe
Adware:adware/startpage.ccm Not disinfected c:\windows\win32.bmp
Adware:adware/sbsoft Not disinfected c:\windows\winsx.cab
Spyware:spyware/dynadesk Not disinfected c:\programme\ddm
Adware:adware/savenow Not disinfected c:\programme\Save
Adware:adware/cws Not disinfected Windows Registry
Adware:adware/ist.istbar Not disinfected Windows Registry
Spyware:spyware/apropos Not disinfected Windows Registry
Adware:adware/wupd Not disinfected Windows Registry
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Mozilla\Profiles\default\q6wu1p6i.slt\cookies.txt.old[.2o7.net/]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[BlackBox.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[VBUG.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[Dummy.class]
Adware:Adware/Startpage.JU Not disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[Beyond.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv581.jar-553e4486-2ea56f45.zip[Matrix.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv581.jar-553e4486-2ea56f45.zip[Dummy.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv620.jar-7fd9548c-5827d9bf.zip[Matrix.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv620.jar-7fd9548c-5827d9bf.zip[Dummy.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv644.jar-37b63ce-116a09f1.zip[Matrix.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv644.jar-37b63ce-116a09f1.zip[Dummy.class]

#12 0.
start - Ausfuehren - regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow -> loeschen, falls es vorhanden ist

-------------------------------------------------------------------------------
1.
poste noch mal die Logs von datfindbat (bis maerz 2006)

2.
Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\jvienfg.dll
C:\WINDOWS\system32\magicpvt.dat
C:\WINDOWS\system32\graf866.dll
C:\WINDOWS\system32\khhhe.exe
C:\WINDOWS\system32\xxwutrq.dll
C:\WINDOWS\system32\fcyvwvt.dll
c:\windows\system32\klo5.sys
c:\windows\system32\system32.dll
c:\windows\downloaded program files\ipreg32.inf
C:\WINDOWS\Downloaded Program Files\WUInst.dll
c:\windows\mstasks1.exe
c:\windows\NDNuninstall5_48.exe
c:\windows\win32.bmp
c:\windows\winsx.cab

PC neustarten

3.
deinstalliere..loesche dann alles, was nach der desinstallation noch vorhanden ist.

c:\programme\ddm
c:\programme\Save

4.
leere das cache von java sun - siehe: CCleaner
http://virus-protect.org/artikel/tools/javasun.html

5.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten

---------
Info: Haxdoor:
http://www.sophos.com/virusinfo/analyses/trojhaxdorfam.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo zurück,

hier das ausführliche Ergebnis:


(0.)
start - Ausfuehren - regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow -> loeschen, falls es vorhanden ist

-> War nicht vorhanden.



(1.)
poste noch mal die Logs von datfindbat (bis maerz 2006)


-> Bitteschööön...


Volume in Laufwerk C: hat keine Bezeichnung.

Verzeichnis von C:\WINDOWS\system32

03.07.2006 10:33 0 magicpvt.dat
02.07.2006 15:33 0 asfiles.txt
02.07.2006 15:29 2.550 Uninstall.ico
02.07.2006 15:29 1.406 Help.ico
02.07.2006 15:29 30.590 pavas.ico
02.07.2006 12:11 2.206 wpa.dbl
19.06.2006 09:28 45 initdebug.nfo
17.06.2006 20:34 21.840 SIntfNT.dll
17.06.2006 20:34 17.212 SIntf32.dll
17.06.2006 20:34 12.067 SIntf16.dll
14.06.2006 10:35 32 driver.dat
06.06.2006 17:17 10.281 QuickTime.qtp
06.06.2006 17:15 10.037 QuickTimeFavorites.qtr
19.04.2006 22:09 778.240 divx_xx07.dll
19.04.2006 22:09 778.240 divx_xx0c.dll
19.04.2006 22:09 761.856 divx_xx11.dll
19.04.2006 22:09 619.156 DivX.dll
19.04.2006 00:35 700.416 divxdec.ax
19.04.2006 00:34 421.888 pxdrv.dll
19.04.2006 00:34 108.544 pxcpyi64.exe
19.04.2006 00:34 109.568 pxinsi64.exe
19.04.2006 00:34 172.032 pxmas.dll
19.04.2006 00:34 372.736 px.dll
19.04.2006 00:34 56.832 pxcpya64.exe
19.04.2006 00:34 61.440 pxhpinst.exe
19.04.2006 00:34 56.320 pxinsa64.exe
19.04.2006 00:34 339.968 pxwave.dll
19.04.2006 00:34 28.672 vxblock.dll
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 3.596.288 qt-dx331.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 90.112 dpl100.dll
19.04.2006 00:30 593.920 dpuGUI11.dll
19.04.2006 00:30 200.704 dtu100.dll
19.04.2006 00:30 344.064 dpus11.dll
19.04.2006 00:30 57.344 dpv11.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 294.912 dpu11.dll
19.04.2006 00:30 245.408 unicows.dll
19.04.2006 00:30 4.276 divxsm.tlb
19.04.2006 00:30 536.576 DivXsm.exe
19.04.2006 00:30 10.716 dsm_ja.qm
19.04.2006 00:30 15.331 dsm_de.qm
19.04.2006 00:30 15.172 dsm_fr.qm
19.04.2006 00:30 352.401 DivXMedia.ax
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
26.03.2006 04:38 380.486 perfh009.dat
26.03.2006 04:38 52.900 perfc009.dat
26.03.2006 04:38 391.330 perfh007.dat
26.03.2006 04:38 63.778 perfc007.dat
26.03.2006 04:38 897.954 PerfStringBackup.INI
22.03.2006 02:38 12.288 DivXWMPExtType.dll
22.03.2006 02:38 8.523 dpude.qm
22.03.2006 02:38 3.136 dtu_de.qm




Verzeichnis von C:\

03.07.2006 10:45 0 sys.txt
03.07.2006 10:45 11.423 system.txt
03.07.2006 10:45 339 systemtemp.txt
03.07.2006 10:45 111.177 system32.txt
03.07.2006 10:33 267.968.512 hiberfil.sys
03.07.2006 10:33 402.653.184 pagefile.sys
02.07.2006 15:13 498 cscsrxqn.txt
02.07.2006 12:47 8.664 files.txt
22.06.2006 19:29 4.672 hijackthis.log
22.06.2006 19:21 1.944 dirdat2.txt
22.06.2006 19:11 19.515 t2lg.zip
22.06.2006 19:06 1.170 c.txt
22.06.2006 19:06 11.529 windows.txt
22.06.2006 19:05 131 temp.txt



Verzeichnis von C:\WINDOWS

03.07.2006 10:33 0 0.log
03.07.2006 10:33 50 wiaservc.log
03.07.2006 10:33 159 wiadebug.log
03.07.2006 10:33 2.048 bootstat.dat
03.07.2006 10:32 32.564 SchedLgU.Txt
02.07.2006 17:04 1.409 QTFont.for
02.07.2006 17:04 54.156 QTFont.qfn
02.07.2006 16:17 192 Winamp.ini
02.07.2006 15:33 1.059 win.ini
02.07.2006 15:30 245.091 setupapi.log
02.06.2006 01:36 381 KTEL.INI
21.05.2006 12:06 180 Clony2.ini
18.05.2006 12:02 209.074 Windows Update.log
11.05.2006 15:12 263.369 wmsetup.log
03.05.2006 12:13 247.702 setupact.log



Verzeichnis von C:\DOKUME~1\ron\LOKALE~1\Temp




(2.)
Pocket KillBox http://virus-protect.org/killbox.html

-> Soweit erledigt bis auf folgendes:
C:\WINDOWS\system32\driver.dat

Sobald ich diese Datei gelöscht und dann meinen PC neu gestartet habe, dann war der Grafiktreiber weg, dass heißt Windows hat nur mit der geringsten Farb- und Bildschirmauflösung gestartet etc. Deswegen habe ich diese Datei (hatte ja eine Sicherung vorher erstellt) wieder zurück kopiert.

Was steht nun genau in der entsprechenden Datei? Und zwar habe ich sie mal mit einem txt Editor geöffnet und nur diese Zeile steht drin:

nv4_disp.dll####

NV4 lässt auf meinen Grafiktreiber schließen.




(3.)
deinstalliere..loesche dann alles, was nach der desinstallation noch vorhanden ist.
c:\programme\ddm
c:\programme\Save

--> Erledigt!



(4.)
leere das cache von java sun - siehe: CCleaner
http://virus-protect.org/artikel/tools/javasun.html

--> Erledigt... hab den Inhalt dieses Verzeichnisses bei mir geleert:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Sun\Java\Deplopement\cache\javapi\v1.0\jar\



(5.)
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten


---> Bitteschöööön...


07/03/06 14:12:39 [Info]: BlackLight Engine 1.0.42 initialized
07/03/06 14:12:39 [Info]: OS: 5.1 build 2600 (Service Pack 1)
07/03/06 14:12:40 [Note]: 7019 4
07/03/06 14:12:40 [Note]: 7005 0
07/03/06 14:12:45 [Note]: 7006 0
07/03/06 14:12:45 [Note]: 7011 296
07/03/06 14:12:46 [Note]: 7026 0
07/03/06 14:12:46 [Note]: 7026 0
07/03/06 14:12:59 [Note]: FSRAW library version 1.7.1019
07/03/06 14:17:13 [Note]: 2000 1006
07/03/06 14:17:13 [Note]: 2000 1006
07/03/06 14:22:38 [Note]: 7007 0


(6)
Im Anhang nochmal der neuste Panda Scanreport (vielleicht für Dich auch von Nutzem).


Vielen, vielen Dank für Deine Hilfe !!!

#14 sorry, wegen der driver.dat
--------------------------------------------------------------------------
1.
hackfix
http://users.telenet.be/marcvn/tools/haxfix.exe
Icon klicken --> in "deutsch" einstellen --> installieren --> irgendeine Taste klicken
1. Make logfile
2. Run auto fix<- poste den report
3. Run manual fix
4. Run goldun fix -> 4 eingeben
E. Exit Haxfix

2.
poste den scanreport
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

3.
gehe in die Registry
Start - Ausfuehren - regedit
barbeiten - suchen - vdmt16
hkey_local_machine\system\currentcontrolset\services\vdmt16-> loeschen

und alles, was du noch findest

4.
loesche mit der Killbox

C:\WINDOWS\system32\magicpvt.dat
C:\WINDOWS\system32\vdmt16.sys
C:\WINDOWS\system32\winlow.sys
c:\windows\mstasks2.exe
c:\windows\system.exe
c:\windows\win32.dat
c:\windows\winsx.inf
C:\Dokumente und Einstellungen\ron\Desktop\1\archive.jar-4235d44a-34e8af3c.zip
C:\t2lg.zip

PC neustarten

**
5.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten-> poste den Report
http://www.virustotal.com/flash/index_en.html

C:\Programme\NetDrive\wdservice.exe

`
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ich habe nun das Programm "Spyware Doctor" installiert und laufen gelassen. Nun scheint das Problem behoben zu sein....zumindest sind die Pop ups weg. Oder steckt da doch noch eine Gefahr im Hintergrund, die ich einfach nicht mehr wahrnehme?