Trojan-Proxy.Win32.Xorpix.ab eingefangen |
||
---|---|---|
#0
| ||
29.06.2006, 18:34
...neu hier
Beiträge: 7 |
||
|
||
29.06.2006, 20:04
Moderator
Beiträge: 7805 |
#2
Lies dir bitte einmal den Artikel zu Avenger durch:
http://virus-protect.org/artikel/tools/avenger.html Ich weiss, das die Datei artm_new.dll nicht einfach zu entfernen ist, aber ich hoffe, das Avenger es schaffen wird. Also lade Avenger herunter und entpacke es in einen extra Ordner. Du musst beim manuellen Script folgendes eintragen: Files to delete: C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll Dann drueckst du auf Done und dann die Ampel. Lass den Rechner neu starten und poste ein neues Hijackthis log. Ueberpruefe bitte auch noch diese Datei C:\WINDOWS\system32\svch3.dll bei Jotti und berichte, was gemeldet wird. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.06.2006, 20:00
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Ralf,
die Sache mit Avenger scheint geklappt zu haben. KAV findet nichts mehr! Allerdings finde ich die Datei C:\WINDOWS\system32\svch3.dll nicht auf meinem Rechner, obwohl sie im Hijack noch auftaucht. DANKE im vorraus, Mikel Logfile of HijackThis v1.99.1 Scan saved at 19:24:26, on 30.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file) O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan O4 - Startup: SK_DevUpdate2A.lnk = C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll (file missing) O20 - Winlogon Notify: igfxcui - igfxdev.dll (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe Dieser Beitrag wurde am 30.06.2006 um 20:06 Uhr von Lager081 editiert.
|
|
|
||
30.06.2006, 20:35
Moderator
Beiträge: 7805 |
#4
Schoen. Dann fixe diesen Eintrag mit Hijackthis:
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll (file missing) Wegen der anderen Datei svch3.dll. Mache versteckte Dateien sichtbar: http://people.freenet.de/rene-gad/invisible.html und schaue, ob du die Datei nun finden kannst und teste sie bei Jotti __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.07.2006, 09:45
...neu hier
Themenstarter Beiträge: 7 |
#5
Moin Ralf,
ich kann trotz deiner Anweisung die Datei svch3.dll mit dem Explorer nicht finden. Habe es im a-Modus und unter allen Benutzern versucht. Gruss, Mikel Logfile of HijackThis v1.99.1 Scan saved at 09:46:35, on 01.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file) O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe |
|
|
||
01.07.2006, 10:36
Moderator
Beiträge: 7805 |
#6
Bevor wir das verscuehn mit Avenger zu loeschen. Nutze bitte f-secures Blacklight.
http://www.f-secure.com/blacklight/try.shtml Das Programm in einen extra Ordner herunterladen, es starten, Eula akzeptieren, scan druecken danach next druecken und exit. Nun findest du eine txt Datei im selben Ordner indem sich auch die Blacklight Datei befindet. Poste den Inhalt hier. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.07.2006, 11:13
...neu hier
Themenstarter Beiträge: 7 |
#7
und hier die Blacklight Datei:
07/01/06 11:09:19 [Info]: BlackLight Engine 1.0.42 initialized 07/01/06 11:09:19 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/01/06 11:09:19 [Note]: 7019 4 07/01/06 11:09:19 [Note]: 7005 0 07/01/06 11:09:37 [Note]: 7006 0 07/01/06 11:09:37 [Error]: 6009 1 07/01/06 11:09:37 [Error]: 6009 0 07/01/06 11:09:38 [Note]: 7026 0 07/01/06 11:09:38 [Note]: 7026 0 07/01/06 11:09:38 [Note]: 7015 180 07/01/06 11:09:38 [Note]: 7015 5 07/01/06 11:09:38 [Note]: 7015 1856 07/01/06 11:09:38 [Note]: 7015 5 07/01/06 11:09:45 [Note]: FSRAW library version 1.7.1019 07/01/06 11:11:09 [Error]: 6023 5 07/01/06 11:12:55 [Note]: 7007 0 Gruss, Mikel |
|
|
||
01.07.2006, 11:28
Moderator
Beiträge: 7805 |
#8
Dann nehmen wir die Avenger Variante.Du kennst es ja noch von oben, doch nun nimmst du als Script folgendes:
Files to delete: C:\WINDOWS\system32\svch3.dll Nach dem Neustart shaue bitte in den Ordner, indem du die Avenger.exe kopiert hast und schicke die Backup.zip, die sich dort auch befinden sollte an virus@protecus.de Danach bitte ein neues Hijackthis log __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.07.2006, 13:07
...neu hier
Themenstarter Beiträge: 7 |
#9
Der Avenger hat die svch3.dll anscheinend auch nicht gefunden.
Gruss, Mikel Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ubwpcodq ******************* Script file located at: \??\C:\WINDOWS\kilvqvyh.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\svch3.dll not found! Deletion of file C:\WINDOWS\system32\svch3.dll failed! Could not process line: C:\WINDOWS\system32\svch3.dll Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Logfile of HijackThis v1.99.1 Scan saved at 13:04:21, on 01.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file) O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe |
|
|
||
01.07.2006, 13:12
Moderator
Beiträge: 7805 |
#10
Ach sieh an. Hijackthis erzeugt bei "O20" Eintraege keine (file missing) Meldung bei fehlenden Dateien!
Also einfach den Eintrag heruasnehmen: O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file) O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll Du kannst deinen PC zur Kontrolle mit Cureit im abgesicherten Modus pruefen: http://virus-protect.org/cureit.html BTW: Du nutzt einen lokalen Proxyserver? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.07.2006, 13:26
...neu hier
Themenstarter Beiträge: 7 |
#11
hört sich gut an,
werde gleich die angegebenen Dateien killen. Da ich von Proxy & Co noch weniger als von dem Rest verstehe, bitte ich um einen kurzen Tipp. Ich gehe über T-Online mit einem Rooter und WLAN ins Netz. [b]ProxyServer = localhost:8080 gut oder böse? Gruss, Mikel Hey raman, erst Angst machen und dann nicht Antworten! Aber egal, der Vierusbefall scheint behoben zu sein. Werde jetzt erst mal im PP-Cafe einen Kaffe für Euch ordern. Vielen Dank für die tolle Hilfe. Gruss, Mikel Dieser Beitrag wurde am 01.07.2006 um 16:38 Uhr von Lager081 editiert.
|
|
|
||
07.07.2006, 08:02
Moderator
Beiträge: 7805 |
#12
Achso, ganz vergessen. Werd es wach, wenn ich meine Kaffee bekommen habe!
Also der Eintrag ist nicht unbedingt boese, nur, so wie du ins Internet gehst, sonderbar. Du kannst den Eintrag fixen. Wenn ich mal nuicht reagieren sollte, habe ich es vergessen, dann einfach mit einer PM aufmerksam machen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
ich habe mir laut Kaspersky Anti-Virus den Trojaner Xorpix zugelegt.
Nachdem ich (hoffentlich) schon alle Tipps aus dem Forum wie z.B. im abgesicherten Modus zu scannen und diverse Programme durchgejagt habe, bin ich nun am Ende.
Im Modus findet der Scanner keinen Virus mehr, im Normalbetrieb bekomme ich folgende Warnung:
winlogon.exe\artm_new.dll ist das Programm Win32.Xopix.ab
Ich habe nach den datfindbat Kopien noch eine HijackThis Kopie vom letzten Startvorgang angehängt.
Vielen Dank im vorraus, Mikel
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61
Verzeichnis von C:\WINDOWS\system32
29.06.2006 17:29 6.693 OODBS.lor
28.06.2006 19:34 2.206 wpa.dbl
13.06.2006 15:58 53.770 perfc009.dat
13.06.2006 15:58 382.026 perfh009.dat
13.06.2006 15:58 64.848 perfc007.dat
13.06.2006 15:58 393.086 perfh007.dat
13.06.2006 15:58 902.476 PerfStringBackup.INI
08.06.2006 18:19 5.967.776 MRT.exe
05.06.2006 10:21 221.632 FNTCACHE.DAT
02.06.2006 13:39 579.888 LegitCheckControl.dll
02.06.2006 13:39 402.736 WgaLogon.dll
02.06.2006 13:39 286.000 WgaTray.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:32 1.496.576 shdocvw.dll
19.05.2006 17:06 3.076.096 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:58 104.448 xpsp3res.dll
10.05.2006 07:26 39.424 pngfilt.dll
10.05.2006 07:26 474.624 shlwapi.dll
10.05.2006 07:26 532.480 mstime.dll
10.05.2006 07:26 669.184 wininet.dll
10.05.2006 07:26 617.472 urlmon.dll
10.05.2006 07:26 448.512 mshtmled.dll
10.05.2006 07:26 146.432 msrating.dll
10.05.2006 07:26 251.904 iepeers.dll
10.05.2006 07:26 1.056.256 danim.dll
10.05.2006 07:26 55.808 extmgr.dll
10.05.2006 07:26 205.312 dxtrans.dll
10.05.2006 07:26 357.888 dxtmsft.dll
10.05.2006 07:26 15.872 jsproxy.dll
10.05.2006 07:26 96.768 inseng.dll
10.05.2006 07:26 1.022.976 browseui.dll
10.05.2006 07:26 152.064 cdfview.dll
29.04.2006 06:07 5.533.696 wmp.dll
22.04.2006 11:36 2.870 jupdate-1.5.0_01-b08.log
14.04.2006 18:29 23.392 nscompat.tlb
14.04.2006 18:29 16.832 amcompat.tlb
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61
Verzeichnis von C:\
29.06.2006 18:21 0 systemtemp.txt
29.06.2006 18:19 111.306 system32.txt
29.06.2006 17:29 519.491.584 hiberfil.sys
29.06.2006 17:29 524.288.000 pagefile.sys
29.06.2006 16:10 1.272 sys.txt
29.06.2006 16:09 5.118 system.txt
26.06.2006 17:08 210 boot.ini
20.05.2006 14:11 80 FilterLog.log
20.05.2006 13:36 176 RegistryChecker.log
03.04.2006 17:59 0 FileOut.Cns
03.04.2006 17:59 0 FileIn.Cns
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61
Verzeichnis von C:\WINDOWS
29.06.2006 17:30 0 0.log
29.06.2006 17:30 372.422 WindowsUpdate.log
29.06.2006 17:29 50 wiaservc.log
29.06.2006 17:29 216 wiadebug.log
29.06.2006 16:38 8.178.752 ntbtlog.txt
29.06.2006 16:23 231 system.ini
28.06.2006 16:31 0 Sti_Trace.log
28.06.2006 16:20 998 iis6.log
28.06.2006 16:20 1.242 ntdtcsetup.log
28.06.2006 16:20 2.045 comsetup.log
28.06.2006 16:20 2.359 tsoc.log
28.06.2006 16:20 342 ocmsn.log
28.06.2006 16:20 1.374 imsins.log
28.06.2006 16:20 27.240 KB916281.log
28.06.2006 16:20 2.916 ocgen.log
28.06.2006 16:20 303 msgsocm.log
28.06.2006 16:20 6.159 FaxSetup.log
28.06.2006 16:20 1.602 setupapi.log
28.06.2006 16:19 0 setupact.log
28.06.2006 16:19 0 setuperr.log
26.06.2006 16:36 1.998 ModemLog_Smart Link 56K Modem.txt
26.06.2006 16:25 116 NeroDigital.ini
04.04.2006 19:49 16.150 ModemLog_Motorola USB Modem.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61
Verzeichnis von C:\
29.06.2006 18:24 0 sys.txt
29.06.2006 18:22 5.118 system.txt
29.06.2006 18:21 1.272 systemtemp.txt
29.06.2006 18:19 111.306 system32.txt
29.06.2006 17:29 519.491.584 hiberfil.sys
29.06.2006 17:29 524.288.000 pagefile.sys
26.06.2006 17:08 210 boot.ini
20.05.2006 14:11 80 FilterLog.log
20.05.2006 13:36 176 RegistryChecker.log
03.04.2006 17:59 0 FileOut.Cns
03.04.2006 17:59 0 FileIn.Cns
04.03.2006 18:58 282 TO_InstallLog.txt
06.12.2005 21:53 0 DBS.TXT
06.12.2005 18:17 97.041 a.txt
17.10.2005 16:39 647 slmh.log
14.10.2005 18:17 0 IO.SYS
14.10.2005 18:17 0 MSDOS.SYS
22.03.2005 08:49 4.937 Lang.txt
21.03.2005 05:48 5.210 Install.LOG
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
22 Datei(en) 1.044.309.563 Bytes
0 Verzeichnis(se), 41.972.477.952 Bytes frei
Logfile of HijackThis v1.99.1
Scan saved at 18:34:59, on 29.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe
C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\no-ads.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan
O4 - Startup: SK_DevUpdate2A.lnk = C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe