Home » Spyware & Browser Hijacker Support Forum » Virus Alert in der Taskleiste+Startseite geändert auf sysprotectionpage.net » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Virus Alert in der Taskleiste+Startseite geändert auf sysprotectionpage.net

21.07.2006, 01:16

Tomo

...neu hier

Beiträge: 4

#1 Habe mir auch das mit dem Spywarequake eingefangen

...Brauche HILFE! Bedanke mich im Vorraus.

Logfile of HijackThis v1.99.1
Scan saved at 01:14:24, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Messenger\MessengerPlus\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\CleanUp!\Cleanup.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MessengerPlus\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (0) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{578379D1-B9B6-44C6-8AD6-EF9E764814C4}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

System32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C8-EE36

Verzeichnis von C:\WINDOWS\system32

21.07.2006 00:23 1.129 abeeg.ini
21.07.2006 00:18 38.416 vsconfig.xml
20.07.2006 23:23 22.528 ixt0.dll
20.07.2006 22:53 573.492 geeba.dll
20.07.2006 22:29 4.286 ot.ico
20.07.2006 22:29 4.286 ts.ico
20.07.2006 22:28 156.672 oins.exe
20.07.2006 22:27 38.925 mljjgge.dll
19.07.2006 02:55 4.212 zllictbl.dat
18.07.2006 17:35 53.352 jpicpl32.cpl
18.07.2006 17:35 24.670 java.exe
18.07.2006 17:35 28.768 javaw.exe
17.07.2006 18:58 18.944 winzlo32.dll
17.07.2006 16:38 380.350 perfh009.dat
17.07.2006 16:38 63.580 perfc007.dat
17.07.2006 16:38 391.000 perfh007.dat
17.07.2006 16:38 52.764 perfc009.dat
17.07.2006 16:38 897.954 PerfStringBackup.INI
17.07.2006 05:00 22 ati64hlp.stb
17.07.2006 03:47 23.392 nscompat.tlb
17.07.2006 03:47 16.832 amcompat.tlb
17.07.2006 03:47 2.272 w95inf16.dll
17.07.2006 03:47 4.608 w95inf32.dll
16.07.2006 21:52 0 h323log.txt
16.07.2006 21:09 2.206 wpa.dbl
16.07.2006 21:07 90.296 FNTCACHE.DAT
16.07.2006 21:06 340 $winnt$.inf
16.07.2006 21:01 2.951 CONFIG.NT
16.07.2006 20:59 488 WindowsLogon.manifest
16.07.2006 20:59 488 logonui.exe.manifest
16.07.2006 20:59 749 nwc.cpl.manifest
16.07.2006 20:59 749 sapi.cpl.manifest
16.07.2006 20:59 749 cdplayer.exe.manifest
16.07.2006 20:59 749 wuaucpl.cpl.manifest
16.07.2006 20:59 749 ncpa.cpl.manifest
16.07.2006 20:56 21.740 emptyregdb.dat

system:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C8-EE36

Verzeichnis von C:\WINDOWS

21.07.2006 00:24 75.531 WindowsUpdate.log
21.07.2006 00:18 0 0.log
21.07.2006 00:18 159 wiadebug.log
21.07.2006 00:18 50 wiaservc.log
21.07.2006 00:16 2.048 bootstat.dat
21.07.2006 00:15 6.716 SchedLgU.Txt
20.07.2006 13:45 116 NeroDigital.ini
19.07.2006 01:25 0 nsreg.dat
17.07.2006 19:10 1.035.264 explorer.exe
17.07.2006 04:26 101 CMMIXER.INI
17.07.2006 04:21 25 mixerdef.ini
17.07.2006 03:49 316.640 WMSysPr9.prx
16.07.2006 21:48 0 Sti_Trace.log
16.07.2006 21:07 8.192 REGLOCS.OLD
16.07.2006 21:01 0 control.ini
16.07.2006 21:01 477 win.ini
16.07.2006 21:00 4.161 ODBCINST.INI
16.07.2006 20:59 749 WindowsShell.Manifest
16.07.2006 20:56 37 vbaddin.ini
16.07.2006 20:56 36 vb.ini
16.07.2006 16:39 231 system.ini

Temp:
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

21.07.2006 00:19 16.384 ~DF7F50.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 22.178.422.784 Bytes frei

sys:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40C8-EE36

Verzeichnis von C:\

21.07.2006 00:28 0 sys.txt
21.07.2006 00:27 3.603 system.txt
21.07.2006 00:26 295 systemtemp.txt
21.07.2006 00:23 94.147 system32.txt
21.07.2006 00:16 536.399.872 hiberfil.sys
21.07.2006 00:16 804.495.360 pagefile.sys
16.07.2006 21:01 0 AUTOEXEC.BAT
16.07.2006 21:01 0 CONFIG.SYS
16.07.2006 21:01 0 IO.SYS
16.07.2006 21:01 0 MSDOS.SYS
16.07.2006 20:53 211 boot.ini

Dieser Beitrag wurde am 21.07.2006 um 01:26 Uhr von Tomo editiert.

21.07.2006, 01:50

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Tomo

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\explorer.exe

poste den report

-------------------------------------------------------------------

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:

C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\geeba.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\mljjgge.dll
C:\WINDOWS\system32\winzlo32.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
4.
poste den report vom avenger

**
5.
smitfraud.fix (Option 1 und 2, lasse auch die registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
Poste beide reporte

6.
die logs von datfindbat noch einmal
__________
MfG Sabina

rund um die PC-Sicherheit

21.07.2006, 02:01

Tomo

...neu hier

Themenstarter

Beiträge: 4

#3 ääähm bevor wir weitermachen muss ich gestehn das ich ein paar der tools schon ausprobiert habe...ist das schlimm? aber daran kannst du ja auch sehn ob ich was eventuell schon richtig oder falsch gemacht habe? danke sabine

STATUS: FINISHEDComplete scanning result of "explorer.exe", received in VirusTotal at 07.21.2006, 01:55:35 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.20.2006 no virus found
Authentium 4.93.8 07.20.2006 no virus found
Avast 4.7.844.0 07.19.2006 no virus found
AVG 386 07.20.2006 no virus found
BitDefender 7.2 07.21.2006 no virus found
CAT-QuickHeal 8.00 07.20.2006 no virus found
ClamAV devel-20060426 07.20.2006 no virus found
DrWeb 4.33 07.20.2006 no virus found
eTrust-InoculateIT 23.72.74 07.20.2006 no virus found
eTrust-Vet 12.6.2303 07.20.2006 no virus found
Ewido 4.0 07.20.2006 no virus found
Fortinet 2.77.0.0 07.20.2006 no virus found
F-Prot 3.16f 07.20.2006 no virus found
F-Prot4 4.2.1.29 07.20.2006 no virus found
Ikarus 0.2.65.0 07.20.2006 no virus found
Kaspersky 4.0.2.24 07.21.2006 no virus found
McAfee 4811 07.20.2006 no virus found
Microsoft 1.1508 07.21.2006 no virus found
NOD32v2 1.1671 07.20.2006 no virus found
Norman 5.90.23 07.20.2006 no virus found
Panda 9.0.0.4 07.20.2006 no virus found
Sophos 4.07.0 07.21.2006 no virus found
Symantec 8.0 07.21.2006 no virus found
TheHacker 5.9.8.178 07.19.2006 no virus found
UNA 1.83 07.20.2006 no virus found
VBA32 3.11.0 07.20.2006 no virus found
VirusBuster 4.3.7:9 07.20.2006 no virus found

Aditional Information
File size: 1035264 bytes
MD5: 22fe1be02eadde1632e478e4125639e0
SHA1: 1d220a818eb52f5895de1c2cec9db8cf9c67c189

21.07.2006, 02:11

Sabina

Ehrenmitglied

Beiträge: 29434

#4 o.k.
nun arbeite alles weitere ab

__________
MfG Sabina

rund um die PC-Sicherheit

21.07.2006, 02:14

Tomo

...neu hier

Themenstarter

Beiträge: 4

#5 nächste logfile...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sionysku

*******************

Script file located at: \??\C:\WINDOWS\system32\rxntmafj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\abeeg.ini deleted successfully.
File C:\WINDOWS\system32\vsconfig.xml deleted successfully.

File C:\WINDOWS\system32\ixt0.dll not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll failed!

Could not process line:
C:\WINDOWS\system32\ixt0.dll
Status: 0xc0000034

File C:\WINDOWS\system32\geeba.dll deleted successfully.

File C:\WINDOWS\system32\ot.ico not found!
Deletion of file C:\WINDOWS\system32\ot.ico failed!

Could not process line:
C:\WINDOWS\system32\ot.ico
Status: 0xc0000034

File C:\WINDOWS\system32\ts.ico not found!
Deletion of file C:\WINDOWS\system32\ts.ico failed!

Could not process line:
C:\WINDOWS\system32\ts.ico
Status: 0xc0000034

File C:\WINDOWS\system32\oins.exe deleted successfully.
File C:\WINDOWS\system32\mljjgge.dll deleted successfully.
File C:\WINDOWS\system32\winzlo32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

21.07.2006, 02:28

Sabina

Ehrenmitglied

Beiträge: 29434

#6 nun poste die 2 Logs von smitfraud.fix und noch mal das 1.Log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

21.07.2006, 03:55

Tomo

...neu hier

Themenstarter

Beiträge: 4

#7 naja das war wohl zuviel des guten...

konnte nicht mehr hochbooten, kam immer ein blue screen, nur im abgesicherten modus (ohne netzwerktreiber usw.) ging es...

zum kotzen *seufz*

21.07.2006, 11:14

Sabina

Ehrenmitglied

Beiträge: 29434

#8 ich weiss nicht, was schief gegangen ist, mache mal bitte aus dem abgesicherten Modus heraus eine Systemwiederherstellung und poste noch mal die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1