freigegebene Ordner beinhalten unseriöse vervirte Dateien

#0
13.07.2006, 14:46
...neu hier

Beiträge: 5
#1 Hallöchen!

Habe auf die Empfehlung von einem Freund,
den Hinweis zu dieser Page und zu Sabina bekommen.

Folgendes Problem:

Von Zeit zu Zeit wird immer mal der Inhalt von freigegebenen Ordnern gelöscht, was natürlich weniger schön ist.
AntiVir XP hat ab und zu dort auch vervirte .exe dateien gefunden,
da ich dieses Problem mit eigenen Kenntnissen nicht aus der welt schaffen kann und Antivir XP da auch nicht gerade die beste lösung ist,
würde ich dich um hilfe bitten...

nun denn erstmal meine Hijack-log:


--------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14:46:36, on 13.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp3\winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\ScannerU\AM32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Papa\Desktop\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.primacom.net/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\msnscps.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Erotik - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1796005 (file missing)
O9 - Extra 'Tools' menuitem: Erotik... - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1796005 (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/Cabs/1796005.cab
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?325
O21 - SSODL: sysldr - {DC958149-FEF3-4C03-BC14-6CF9CF9B9AF1} - sysldr.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

-------------------------------------


Vielen Dank schonmal..
Dieser Beitrag wurde am 13.07.2006 um 17:58 Uhr von fsld editiert.
Seitenanfang Seitenende
13.07.2006, 15:14
Moderator

Beiträge: 7805
#2 Bitte stelle noch die fehlenden Informationen aus diesem Thread hier ein:
http://board.protecus.de/t23188.htm

Stelle Antivir bitte auch so ein: http://board.protecus.de/t23979.htm

Alle Freigaben bitte loeschen(erstmal) oder mit einem neuen Passwort versehen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.07.2006, 15:52
...neu hier

Themenstarter

Beiträge: 5
#3 nun nochmal nach den Anweisungen:


edit

hier die 4 logs:

Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 783D-2AC2

Verzeichnis von C:\WINDOWS\system32

08.07.2006 13:43 2.206 wpa.dbl
15.06.2006 22:46 57.384 avsda.dll
26.03.2006 13:25 380.350 perfh009.dat



Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 783D-2AC2

Verzeichnis von C:\DOKUME~1\Papa\LOKALE~1\Temp

13.07.2006 15:56 224 WCESCOMM.LOG
13.07.2006 15:56 220 jusched.log
2 Datei(en) 444 Bytes
0 Verzeichnis(se), 2.473.304.064 Bytes frei


Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 783D-2AC2

Verzeichnis von C:\WINDOWS

13.07.2006 14:19 4.457.920 setupapi.log
13.07.2006 12:02 191.146 Windows Update.log
13.07.2006 12:01 0 0.log
13.07.2006 12:01 157 wiadebug.log
13.07.2006 12:01 50 wiaservc.log
13.07.2006 12:01 2.048 bootstat.dat
13.07.2006 01:14 32.624 SchedLgU.Txt
08.05.2006 17:23 237.649 wmsetup.log


Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 783D-2AC2

Verzeichnis von C:\

13.07.2006 16:00 0 sys.txt
13.07.2006 15:59 8.763 system.txt
13.07.2006 15:59 333 systemtemp.txt
13.07.2006 15:59 119.711 system32.txt
13.07.2006 12:01 536.399.872 hiberfil.sys
13.07.2006 12:01 805.306.368 pagefile.sys
12.07.2006 20:13 380.253 hpfr5550.log
12.07.2006 20:13 0 hpfr5550.xml
12.07.2006 20:08 120.000 sam.tmp



so..
problem wurde ja vorher schon erläutert..
antivir xp is auch so eingestellt..
Dieser Beitrag wurde am 13.07.2006 um 16:00 Uhr von fsld editiert.
Seitenanfang Seitenende
13.07.2006, 16:00
Moderator

Beiträge: 7805
#4 Das Hijackthis log hatten wir ja schon, das andere ist wichtiger!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.07.2006, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\msnscps.dll (file missing)
O9 - Extra button: Erotik - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1796005 (file missing)
O9 - Extra 'Tools' menuitem: Erotik... - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1796005 (file missing)

nur fixen, wenn es nicht mehr gebraucht wird ;)
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/Cabs/1796005.cab
PC neustarten

der Antivirus scheint schon ganze Arbeit geleistet zu haben, mache noch einen Onlinescan mit Panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 01:23
...neu hier

Themenstarter

Beiträge: 5
#6 Hallöchen Sabina..

1. Punkt gemacht!

2.:


Incident Status Location

Adware:adware/quicksearch Not disinfected c:\windows\downloaded program files\Install.inf
Adware:adware/savenow Not disinfected Windows Registry
Adware:adware/whenusearch Not disinfected Windows Registry
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Papa\Cookies\papa@as-eu.falkag[1].txt


das wär´s für´s erste..
Seitenanfang Seitenende
14.07.2006, 01:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 nun, es ist alles in Ordnung ;)

loesche:
c:\windows\downloaded program files\Install.inf

+
wende die savenow.reg -Datei an
http://virus-protect.org/artikel/spyware/save.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 09:02
Moderator
Avatar joschi

Beiträge: 6466
#8 Hast Du deine freigegebenen Ordner nun geschlossen ?
Sind schwache Passwörter für deine Accounts vergeben ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
14.07.2006, 16:00
...neu hier

Themenstarter

Beiträge: 5
#9 Moin moin..

@Sabina:

also.. Install.inf war nicht vorhanden, auch nicht per search gefunden..

die reg hab ich im abgesicherten angewendet.. so..



------------------------

und @joschi:

Freigabeordner, über die transfer gemacht wurde, sind geschlossen..
PW lag noch nie drüber, da nur lokales netzwerk..



noch irgendwas weiteres, n scan, oder so?
Dieser Beitrag wurde am 14.07.2006 um 16:33 Uhr von fsld editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: