Security Alert in der Taskleiste, gelbes Ausrufezeichen!

#1 Hallo ihr Genies da draußen!

Ich hab ein riesen Problem, womit ich nicht klar komme. Seit ca. 2Tagen blinkt bei mir in der Taskleiste ein gelbes Dreieck mit einem Ausrufezeichen und meldet immer wieder ein Virus. Wenn ich draufklicke öffnet sich eine Seite von einer Softwarefirma. Jetzt meine Frage: Handelt es sich dabei um reine Werbung oder habe ich tatsätzlich ein virus auf dem Rechner?
Mit hijackthis habe ich das ganze gescannt und rausgekommen ist dabei folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 13:50:17, on 21.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Vilmos\Eigene Dateien\peter\Programme\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\System32\hp100.tmp
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Vilmos\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - (no file)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Leider sagt mir das ganze rein garnichts. Könnte mir bitte jemand das analysieren und mir sagen wie ich den sch... von meinem Rechner bekomme!?

Bedanke mich schon mal im vorraus!!!!!!!!!

#2 1,
arbeite smitfraud.fix ab (Option 1 ud 2 , lasse auch die registry mitreinigen)
poste hier beide reports
dann:
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
desinstalliere:
C:\Programme\Need2Find
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hier die reports:

SmitFraudFix v2.74

Scan done at 18:08:41,28, 21.07.2006
Run from C:\Dokumente und Einstellungen\Vilmos\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld???.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\regperf.exe FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Vilmos\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Vilmos\FAVORI~1

C:\DOKUME~1\Vilmos\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

SmitFraudFix v2.74

Scan done at 18:09:31,50, 21.07.2006
Run from C:\Dokumente und Einstellungen\Vilmos\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\atmclk.exe
Problem while deleting C:\WINDOWS\system32\dcomcfg.exe
Problem while deleting C:\WINDOWS\system32\hp???.tmp
Problem while deleting C:\WINDOWS\system32\hp????.tmp
Problem while deleting C:\WINDOWS\system32\ld???.tmp
Problem while deleting C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\ot.ico Deleted
Problem while deleting C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\simpole.tlb Deleted
Problem while deleting C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico Deleted
Problem while deleting C:\WINDOWS\system32\1024
C:\DOKUME~1\Vilmos\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld???.tmp Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted

»»»»»»»»»»»»»»»»»»»»»»»» End

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\WINDOWS\system32

21.07.2006 18:14 526 vsconfig.xml
21.07.2006 10:12 114.688 wmatimer.dll
20.07.2006 11:10 305.454 perfh009.dat
20.07.2006 11:10 37.896 perfc009.dat
20.07.2006 11:10 310.140 perfh007.dat
20.07.2006 11:10 45.870 perfc007.dat
20.07.2006 11:10 703.946 PerfStringBackup.INI
19.07.2006 22:19 1.429 ikhcore.log
19.07.2006 22:15 994 cmvkofqy.txt
19.07.2006 21:49 622 vckqsvlt.txt
19.07.2006 15:41 1.047.552 mfc71u.dll
18.07.2006 11:48 176.167 rmoc3260.dll
18.07.2006 11:48 5.632 pndx5032.dll
18.07.2006 11:48 6.656 pndx5016.dll
18.07.2006 11:48 278.528 pncrt.dll
07.07.2006 20:22 2.184 wpa.dbl
18.06.2006 12:58 149.992 FNTCACHE.DAT
18.06.2006 12:42 24.516 mlfcache.dat
16.06.2006 10:33 139.264 hpzjrd01.dll
12.06.2006 09:15 4.212 zllictbl.dat
16.05.2006 12:26 7.006 jupdate-1.5.0_06-b05.log
11.05.2006 14:37 4.087.790 fcb-screensaver.scr
11.05.2006 12:47 2.780 qtplugin.log
11.05.2006 11:50 16.832 amcompat.tlb
11.05.2006 11:50 23.392 nscompat.tlb
10.05.2006 22:28 0 h323log.txt
10.05.2006 22:08 25.065 wmpscheme.xml
10.05.2006 22:05 261 $winnt$.inf
10.05.2006 21:38 2.951 CONFIG.NT
10.05.2006 21:36 488 WindowsLogon.manifest
10.05.2006 21:36 488 logonui.exe.manifest
10.05.2006 21:36 749 sapi.cpl.manifest
10.05.2006 21:36 749 cdplayer.exe.manifest
10.05.2006 21:36 749 wuaucpl.cpl.manifest
10.05.2006 21:36 749 nwc.cpl.manifest
10.05.2006 21:36 749 ncpa.cpl.manifest
10.05.2006 21:32 21.740 emptyregdb.dat
20.04.2006 14:27 64.512 PTPITCP.dll
31.03.2006 12:40 2.388.176 d3dx9_30.dll
31.03.2006 12:39 229.584 xactengine2_1.dll
31.03.2006 12:39 63.696 dxdllreg.exe
31.03.2006 12:39 62.672 xinput1_1.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\DOKUME~1\Vilmos\LOKALE~1\Temp

21.07.2006 18:14 4 PMShared
21.07.2006 18:10 16.384 ~DF1CE7.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\WINDOWS

21.07.2006 18:14 972 win.ini
21.07.2006 18:13 0 0.log
21.07.2006 18:12 769.917 WindowsUpdate.log
21.07.2006 18:11 159 wiadebug.log
21.07.2006 18:11 50 wiaservc.log
21.07.2006 18:11 32.586 SchedLgU.Txt
21.07.2006 18:11 2.048 bootstat.dat
21.07.2006 18:09 420 setupact.log
21.07.2006 16:43 192 winamp.ini
21.07.2006 14:38 1.675 wmsetup.log
21.07.2006 10:33 10 smdat32m.sys
21.07.2006 10:31 355.306 setupapi.log
21.07.2006 10:23 0 smdat32a.sys
20.07.2006 11:10 476.296 iis6.log
20.07.2006 11:10 15.705 comsetup.log
20.07.2006 11:10 45.479 ntdtcsetup.log
20.07.2006 11:10 104.054 tsoc.log
20.07.2006 11:10 4.566 imsins.log
20.07.2006 11:10 9.873 ocmsn.log
20.07.2006 11:10 50.594 ocgen.log
20.07.2006 11:10 10.218 msgsocm.log
20.07.2006 11:10 148.401 FaxSetup.log
20.07.2006 11:09 102.316 msmqinst.log
20.07.2006 10:41 13.020 LUINSTALL.LOG
19.07.2006 21:13 2.266 mozver.dat
19.07.2006 21:12 4.566 imsins.BAK
19.07.2006 20:05 417 MININU.LOG
19.07.2006 19:58 264 _delis32.ini
19.07.2006 19:11 227 system.ini
19.07.2006 17:05 118 cdplayer.ini
18.07.2006 10:38 16 popcinfo.dat
18.07.2006 10:01 0 setuperr.log
17.07.2006 22:56 400 ODBC.INI
17.07.2006 22:53 102.945 hpoins05.dat
17.07.2006 22:35 2.262 EventSystem.log
17.07.2006 22:18 1.855 OEWABLog.txt
28.06.2006 18:55 140 accessdll.log
28.06.2006 18:55 1.900 avmadd32.log
28.06.2006 18:43 4.071 avmsetup.log
28.06.2006 18:41 689 avm16.log
28.06.2006 11:31 1.799 ie7beta2_main.log
16.06.2006 16:52 227 HP_CounterReport_Update_HPSU.ini
16.06.2006 16:52 214 HP_48BitScanUpdatePatch.ini
16.06.2006 16:49 206 HPGdiPlus.ini
16.06.2006 16:48 221 HP_RedboxHprblog_HPSU.ini
16.06.2006 09:05 583 Q321856.log
15.06.2006 10:43 720.896 iun6002ev.exe
02.06.2006 07:45 3.816 ModemLog_Smart Link 56K Voice Modem.txt
20.05.2006 10:18 1.255 fsdgunst.log
20.05.2006 10:18 2.937 fsmaunin.log
20.05.2006 10:18 561 daasunin.LOG
20.05.2006 10:18 565 FSGUIINS.LOG
20.05.2006 10:18 494 fstnbins.LOG
20.05.2006 10:18 39.477 fsavunin.log
20.05.2006 10:18 6.778 FSASWUNI.LOG
20.05.2006 10:18 22.408 fwesinst.log
15.05.2006 11:06 976 KB904942.log
14.05.2006 12:40 109 oodcnt.INI
14.05.2006 11:55 6.249 KB842773.log
12.05.2006 10:08 3.582 fsiuupd.log
12.05.2006 10:01 2.872.001 FSSFM.log
12.05.2006 10:01 218.655 RunSetup.log
12.05.2006 10:01 4.288.818 FSISU.log
12.05.2006 10:01 128.866 FSPROD.log
12.05.2006 10:01 8.136 FSASWINS.LOG
12.05.2006 10:01 824.254 FSSETUP.log
12.05.2006 10:01 2.032 fsdginst.log
12.05.2006 10:01 14.854 fsmainst.log
12.05.2006 10:01 4.722 FSSYSUPD.LOG
12.05.2006 10:01 2.185 DAASINST.LOG
12.05.2006 10:01 7.980 FSAVCSIN.LOG
12.05.2006 10:01 7.996 fsrif.log
12.05.2006 10:01 31.852 FSAVINST.LOG
12.05.2006 10:00 56.733 FSDEPH.log
12.05.2006 10:00 9.592 FSSGSUP.LOG
12.05.2006 10:00 180.973 fssgpex.LOG
12.05.2006 09:51 9.902 fsbwinst.log
12.05.2006 09:47 1.654 Q-Klez.log
11.05.2006 13:38 107 avmsysnet.log
11.05.2006 12:51 725 aolback.exe.lnk
11.05.2006 12:45 335 nsreg.dat
11.05.2006 12:16 657 explorer.exe.manifest
11.05.2006 11:54 10.324 xpsp1hfm.log
11.05.2006 11:54 12.473 KB840374.log
11.05.2006 11:53 15.235 KB835732.log
11.05.2006 11:52 10.225 KB828741.log
11.05.2006 11:50 234 wmsetup10.log
11.05.2006 11:50 316.640 WMSysPr9.prx
10.05.2006 22:26 0 Sti_Trace.log
10.05.2006 22:23 1.348 regopt.log
10.05.2006 21:38 0 control.ini
10.05.2006 21:38 299.552 WMSysPrx.prx
10.05.2006 21:38 4.161 ODBCINST.INI
10.05.2006 21:36 749 WindowsShell.Manifest
10.05.2006 21:33 1.060 sessmgr.setup.log
10.05.2006 21:32 37 vbaddin.ini
10.05.2006 21:32 36 vb.ini
10.05.2006 21:32 128 DtcInstall.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\

21.07.2006 18:22 0 sys.txt
21.07.2006 18:21 7.255 system.txt
21.07.2006 18:21 396 systemtemp.txt
21.07.2006 18:21 98.244 system32.txt
21.07.2006 18:12 1.980 rapport.txt
21.07.2006 18:11 402.653.184 pagefile.sys
21.07.2006 13:17 3.690 bootex.log
19.07.2006 22:16 588 avenger.txt
19.07.2006 19:11 193 boot.ini
11.05.2006 11:03 39 CTJINI.INI
11.05.2006 10:58 62 unknown.dat
10.05.2006 21:38 0 MSDOS.SYS
10.05.2006 21:38 0 CONFIG.SYS
10.05.2006 21:38 0 IO.SYS
10.05.2006 21:38 0 AUTOEXEC.BAT

Ist das jetzt damit erledigt? Oder muß ich noch was machen?

#4 Tipup

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\System32\hp100.tmp

O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - (no file)

----------------------------------------------------------------------------------

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\wmatimer.dll

poste den bericht

2.
scanne mit ewido (Online) und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hey Sabina!
Kaum das ich das erste Problem los hatte habe ich schon wieder ein neues.
Kannst Du mir sagen ob das noch nachwirkungen vom letzen problem sind oder ob das schon wieder was neues ist.

Ich habe smitfraud.fix und Hijackdis durschlaufen lassen, hier die Reports:

Logfile of HijackThis v1.99.1
Scan saved at 16:27:36, on 26.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\aspi266877.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten\ed57f677.exe
C:\Programme\AOL 9.0\waol.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Vilmos\Eigene Dateien\peter\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ed57f677.exe] C:\WINDOWS\System32\ed57f677.exe
O4 - HKCU\..\Run: [ed57f677.exe] C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten\ed57f677.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Vilmos\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O21 - SSODL: YIfoaiYL - {34945E1D-9E3E-F4B7-B46F-6DCA63E031E0} - C:\WINDOWS\System32\ff.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi266877.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

SmitFraudFix v2.75

Scan done at 16:38:53,37, 26.07.2006
Run from C:\Dokumente und Einstellungen\Vilmos\Eigene Dateien\peter\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Vilmos\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Vilmos\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

ewido hatt garnicht erst funktioniert!

#6 das ist eine neue Verseuchung

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Dokumente" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Danke für deine Hilfe bisher!!!!!!!!!!!!!!!!
Hier ist der files.txt der nach dem listen.bat erscheint:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Dokumente

26.07.2006 19:59 <DIR> .
26.07.2006 19:59 <DIR> ..
11.05.2006 12:46 <DIR> AOL Downloads
16.06.2006 09:50 <DIR> Eigene Bilder
11.05.2006 11:50 <DIR> Eigene Musik
11.05.2006 11:50 <DIR> Eigene Videos
16.06.2006 16:30 393.216 ESBK.mb
16.06.2006 16:30 744.448 ESBK.mbb
2 Datei(en) 1.137.664 Bytes
6 Verzeichnis(se), 35.662.880.768 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Dokumente\Settings

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
11.07.2006 09:41 345.656 ewidoOnlineScan.dll
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
31.01.2005 14:11 685.120 ppctl.dll
5 Datei(en) 1.167.357 Bytes
0 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Dokumente und Einstellungen\Vilmos\Eigene Dateien

26.07.2006 14:50 <DIR> .
26.07.2006 14:50 <DIR> ..
19.07.2006 19:31 <DIR> Dokumnente
17.07.2006 23:32 <DIR> Eigene Bilder
06.07.2006 10:34 <DIR> Eigene Musik
18.06.2006 11:53 <DIR> Eigene Videos
19.06.2006 12:47 <DIR> Meine Scans
07.07.2006 20:17 <DIR> My Albums
07.07.2006 20:15 <DIR> My Pictures
10.05.2006 22:17 <DIR> My Received Files
19.07.2006 20:28 <DIR> nyito
26.07.2006 18:14 <DIR> P.S
26.07.2006 13:49 <DIR> peter
0 Datei(en) 0 Bytes
13 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Program Files

26.07.2006 14:20 <DIR> .
26.07.2006 14:20 <DIR> ..
26.07.2006 15:33 <DIR> BraveSentry
11.05.2006 11:20 <DIR> HP
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Temp

26.07.2006 20:19 <DIR> .
26.07.2006 20:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\WINDOWS\Temp

26.07.2006 20:17 <DIR> .
26.07.2006 20:17 <DIR> ..
26.07.2006 19:59 <DIR> tmp000044ad
26.07.2006 19:59 256 ZLT044a6.TMP
26.07.2006 20:17 0 _td9.tmp
2 Datei(en) 256 Bytes
3 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Temp

19.07.2006 15:44 <DIR> .
19.07.2006 15:44 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Programme

26.07.2006 19:55 <DIR> .
26.07.2006 19:55 <DIR> ..
17.07.2006 22:59 <DIR> Adobe
11.05.2006 12:25 <DIR> Ahead
26.07.2006 18:15 <DIR> AntiVir PersonalEdition Classic
26.07.2006 17:09 <DIR> AOL 9.0
08.07.2006 08:39 <DIR> ArcSoft
11.05.2006 12:02 <DIR> Ashampoo
15.06.2006 10:43 <DIR> Bejeweled 2 Deluxe
21.07.2006 16:34 <DIR> Bingo RM to MP3 Wave Converter
15.06.2006 10:42 <DIR> Bluefish Games
11.05.2006 11:13 <DIR> CAM-IN SUITE III
26.07.2006 19:55 <DIR> CleanUp!
10.05.2006 21:32 <DIR> ComPlus Applications
07.07.2006 20:21 <DIR> FRITZ!Box
26.07.2006 17:06 <DIR> FRITZ!DSL
18.07.2006 11:48 <DIR> Gemeinsame Dateien
26.07.2006 17:06 <DIR> Google
16.06.2006 17:37 <DIR> HP
26.07.2006 17:06 <DIR> Internet Explorer
16.05.2006 12:26 <DIR> Java
13.05.2006 12:55 <DIR> Lavasoft
11.05.2006 12:50 <DIR> Learn2.com
17.07.2006 22:18 <DIR> Messenger
11.05.2006 11:10 <DIR> MGI
10.05.2006 21:39 <DIR> microsoft frontpage
28.06.2006 10:55 <DIR> Microsoft Office
26.07.2006 14:23 <DIR> Mihov Picture Downloader
10.05.2006 21:35 <DIR> Movie Maker
21.07.2006 18:48 <DIR> Mozilla Firefox
10.05.2006 21:31 <DIR> MSN Gaming Zone
21.07.2006 10:21 <DIR> Need2Find
11.05.2006 11:53 <DIR> NetMeeting
17.07.2006 19:34 <DIR> No23 Recorder
10.05.2006 21:36 <DIR> Online-Dienste
17.07.2006 22:18 <DIR> Outlook Express
11.05.2006 10:56 <DIR> Philips ToUcam Camera
11.05.2006 12:48 <DIR> QuickTime
31.05.2006 08:20 <DIR> Real
31.05.2006 08:20 774.144 RngInterstitial.dll
21.07.2006 10:21 <DIR> RXToolBar
11.05.2006 16:27 <DIR> Softwin
12.05.2006 09:21 <DIR> Steganos Internet Trace Destructor 7
23.06.2006 07:59 <DIR> TuneUp Utilities 2004
11.05.2006 12:50 <DIR> Viewpoint
19.07.2006 18:08 <DIR> Winamp
11.05.2006 11:50 <DIR> Windows Media Player
10.05.2006 21:31 <DIR> Windows NT
11.05.2006 11:47 <DIR> WinRAR
11.05.2006 11:46 <DIR> WinZip
10.05.2006 21:39 <DIR> xerox
11.05.2006 12:30 <DIR> Zone Labs
1 Datei(en) 774.144 Bytes
51 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten

15.05.2006 11:46 <DIR> Adobe
19.06.2006 12:15 32.424 GDIPFONTCACHEV1.DAT
23.07.2006 09:06 <DIR> Google
11.05.2006 13:29 <DIR> Help
30.05.2006 16:37 <DIR> Identities
26.07.2006 17:17 <DIR> Microsoft
19.07.2006 21:14 <DIR> Mozilla
1 Datei(en) 32.424 Bytes
6 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten

15.05.2006 11:46 <DIR> Adobe
19.06.2006 12:15 32.424 GDIPFONTCACHEV1.DAT
23.07.2006 09:06 <DIR> Google
11.05.2006 13:29 <DIR> Help
30.05.2006 16:37 <DIR> Identities
26.07.2006 17:17 <DIR> Microsoft
19.07.2006 21:14 <DIR> Mozilla
1 Datei(en) 32.424 Bytes
6 Verzeichnis(se), 35.662.815.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Programme\Gemeinsame Dateien

18.07.2006 11:48 <DIR> .
18.07.2006 11:48 <DIR> ..
17.07.2006 22:59 <DIR> Adobe
11.05.2006 12:25 <DIR> Ahead
26.07.2006 17:06 <DIR> aol
11.05.2006 12:51 <DIR> aolback
11.05.2006 12:51 <DIR> aolshare
26.07.2006 17:06 <DIR> AVM
12.05.2006 09:15 <DIR> Designer
17.07.2006 22:18 <DIR> Dienste
11.05.2006 11:22 <DIR> Hewlett-Packard
17.07.2006 20:28 <DIR> InstallShield
16.05.2006 12:25 <DIR> Java
18.06.2006 08:13 <DIR> MAGIX Shared
11.05.2006 11:10 <DIR> MGI Shared
08.07.2006 09:17 <DIR> Microsoft Shared
10.05.2006 21:33 <DIR> MSSoap
11.05.2006 12:47 <DIR> Nullsoft
10.05.2006 22:23 <DIR> ODBC
18.07.2006 11:48 <DIR> Real
12.05.2006 08:37 <DIR> Softwin
10.05.2006 22:23 <DIR> SpeechEngines
20.07.2006 10:42 <DIR> Symantec Shared
17.07.2006 22:18 <DIR> System
23.06.2006 07:48 <DIR> Wise Installation Wizard
18.07.2006 11:48 <DIR> xing shared
0 Datei(en) 0 Bytes
26 Verzeichnis(se), 35.662.815.232 Bytes frei


Außerdem hab ich auch noch zwei Registry Einträge die bei Ad-Aware als kritische Objekte angezeigt werden. Smitfraud.fix bekommt die nicht weg, geschweigeden Ad-Aware:

HKEY_USERS:S-1-5-18\sofware\microsoft\windows\curentversion\policies\system"DisableTaskMgr" ()

HKEY_USERS:.DEFAULT\sofware\microsoft\windows\curentversion\policies\system"DisableTaskMgr" ()

#8 Auch wenn ich kein Profi bin:

Per Ewido und Panda (Beides die gleiche Seite) scannen, wobei beides nur im Explorer läuft. Unter AOL gehts auch, aber k.a. wo du bist. Gefundens löschen.

Dann die Yahoo AntiSpy Bar downloaden, laufen lassen, alles entfernen. Außer es sind Sachen bei denen du weißt dass es harmlos ist. (Manchmal werden DL Manager als Adware/Browserhack angezeigt)

Dann Fertig -> Wiederherstellen -> Entgültig löschen

Auch immer Spybot benutzen. Ist zwar nicht das beste Tool, aber hat mir schon oft geholfen.

PS: Sabrina ist spitze!

#9 Tipup

1.
loesche die listen.bat, die du erstellt hast.

2.
erstelle eine neu.bat

Zitat

cd\
dir "C:\Program Files\BraveSentry" >>files.txt
dir "C:\Dokumente und Einstellungen\Vilmos\Eigene Dateien\P.S" >>files.txt
dir "C:\Programme\Need2Find" >>files.txt
dir "C:\Programme\RXToolBar" >>files.txt
notepad files.txt

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

BraveSentry

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hier sind die zwei Reports:

von neu.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Program Files\BraveSentry

26.07.2006 15:33 <DIR> .
26.07.2006 15:33 <DIR> ..
26.07.2006 14:20 100 BraveSentry.lic
26.07.2006 14:20 26.098 BraveSentry1.bs
26.07.2006 14:20 114.688 Uninstall.exe
3 Datei(en) 140.886 Bytes
2 Verzeichnis(se), 35.647.287.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\Dokumente und Einstellungen\Vilmos\Eigene Dateien\P.S


und vom Regsearch:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 27.07.2006 13:38:22 for strings:
; 'bravesentry
bravesentry
bravesentry'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#11 0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Die Datei "sheriff.reg" auf dem Desktop doppelklicken. + der Registry beifuegen

-----------------------------------------------------------------------------------------
1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry
HKEY_CURRENT_USER\software\bravesentry
HKEY_CURRENT_USER\Software\Install

Files to delete:
C:\Program Files\BraveSentry\BraveSentry.lic
C:\Program Files\BraveSentry\BraveSentry1.bs
C:\Program Files\BraveSentry\Uninstall.exe
C:\WINDOWS\System32\ed57f677.exe
C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten\ed57f677.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
C:\WINDOWS\System32\ff.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
poste das log vom avenger

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [ed57f677.exe] C:\WINDOWS\System32\ed57f677.exe
O4 - HKCU\..\Run: [ed57f677.exe] C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten\ed57f677.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O21 - SSODL: YIfoaiYL - {34945E1D-9E3E-F4B7-B46F-6DCA63E031E0} - C:\WINDOWS\System32\ff.dll (file missing)

PC neustarten

***
poste die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#12 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\software\bravesentry


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Software\Install


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uenogauo

*******************

Script file located at: \??\C:\Program Files\xgiedccg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Program Files\BraveSentry\BraveSentry.lic deleted successfully.
File C:\Program Files\BraveSentry\BraveSentry1.bs deleted successfully.
File C:\Program Files\BraveSentry\Uninstall.exe deleted successfully.


File C:\WINDOWS\System32\ed57f677.exe not found!
Deletion of file C:\WINDOWS\System32\ed57f677.exe failed!

Could not process line:
C:\WINDOWS\System32\ed57f677.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten\ed57f677.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten\ed57f677.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Anwendungsdaten\ed57f677.exe
Status: 0xc0000034

File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll deleted successfully.


File C:\WINDOWS\System32\ff.dll not found!
Deletion of file C:\WINDOWS\System32\ff.dll failed!

Could not process line:
C:\WINDOWS\System32\ff.dll
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\WINDOWS

27.07.2006 14:53 813.598 WindowsUpdate.log
27.07.2006 14:53 159 wiadebug.log
27.07.2006 14:53 50 wiaservc.log
27.07.2006 14:53 10.394 SchedLgU.Txt
27.07.2006 14:53 2.048 bootstat.dat
27.07.2006 14:50 0 0.log
27.07.2006 14:36 192 winamp.ini
27.07.2006 13:14 1.031 win.ini
27.07.2006 12:50 16 popcinfo.dat
26.07.2006 17:03 22.686 setupapi.log
26.07.2006 16:41 908.674 ntbtlog.txt
26.07.2006 16:39 120 setupact.log
26.07.2006 16:23 0 setuperr.log
26.07.2006 15:12 600.440 iis6.log
26.07.2006 15:12 128.438 tsoc.log
26.07.2006 15:12 55.486 ntdtcsetup.log
26.07.2006 15:12 12.006 ocmsn.log
26.07.2006 15:12 12.696 msgsocm.log
26.07.2006 15:12 181.455 FaxSetup.log
26.07.2006 15:11 129.358 msmqinst.log
26.07.2006 14:25 4.536 ModemLog_Smart Link 56K Voice Modem.txt
21.07.2006 18:48 170 wininit.ini
21.07.2006 10:33 10 smdat32m.sys
21.07.2006 10:23 0 smdat32a.sys
20.07.2006 10:41 13.020 LUINSTALL.LOG
19.07.2006 21:13 2.266 mozver.dat
19.07.2006 20:05 417 MININU.LOG
19.07.2006 19:58 264 _delis32.ini
19.07.2006 19:11 227 system.ini
19.07.2006 17:05 118 cdplayer.ini
17.07.2006 22:56 400 ODBC.INI
17.07.2006 22:53 102.945 hpoins05.dat
17.07.2006 22:35 2.262 EventSystem.log
17.07.2006 22:18 1.855 OEWABLog.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\

27.07.2006 14:55 0 sys.txt
27.07.2006 14:55 7.111 system.txt
27.07.2006 14:55 347 systemtemp.txt
27.07.2006 14:54 99.199 system32.txt
27.07.2006 14:53 402.653.184 pagefile.sys
27.07.2006 14:47 4.754 avenger.txt
27.07.2006 13:44 4.848 files.txt
19.07.2006 19:11 193 boot.ini
11.05.2006 11:03 39 CTJINI.INI
11.05.2006 10:58 62 unknown.dat
10.05.2006 21:38 0 CONFIG.SYS
10.05.2006 21:38 0 MSDOS.SYS
10.05.2006 21:38 0 IO.SYS
10.05.2006 21:38 0 AUTOEXEC.BAT
23.08.2001 14:00 4.952 bootfont.bin
23.08.2001 14:00 45.124 NTDETECT.COM
23.08.2001 14:00 224.032 ntldr
17 Datei(en) 403.043.845 Bytes
0 Verzeichnis(se), 35.635.830.784 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\DOKUME~1\Vilmos\LOKALE~1\Temp

27.07.2006 13:14 4 PMShared
01.01.1970 02:00 1.628 10lanczbpfbzyvi.ABI
2 Datei(en) 1.632 Bytes
0 Verzeichnis(se), 35.636.183.040 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3494-5E1C

Verzeichnis von C:\WINDOWS\system32

27.07.2006 14:50 526 vsconfig.xml
27.07.2006 11:30 97 s32.txt
26.07.2006 17:06 0 asfiles.txt
26.07.2006 17:02 2.550 Uninstall.ico
26.07.2006 17:02 1.406 Help.ico
26.07.2006 17:02 30.590 pavas.ico
26.07.2006 15:11 37.896 perfc009.dat
26.07.2006 15:11 305.454 perfh009.dat
26.07.2006 15:11 310.140 perfh007.dat
26.07.2006 15:11 45.870 perfc007.dat
26.07.2006 15:11 703.946 PerfStringBackup.INI
26.07.2006 14:28 0 2.txt
26.07.2006 14:28 0 1.txt
26.07.2006 14:24 180 ws386.ini
26.07.2006 14:24 37.376 aspi266877.exe
26.07.2006 14:24 37.376 aspi269067.exe
26.07.2006 14:24 1 kr_done1
21.07.2006 10:12 114.688 wmatimer.dll
19.07.2006 22:19 1.429 ikhcore.log
19.07.2006 22:15 994 cmvkofqy.txt
19.07.2006 21:49 622 vckqsvlt.txt
19.07.2006 15:41 1.047.552 mfc71u.dll
18.07.2006 11:48 176.167 rmoc3260.dll
18.07.2006 11:48 5.632 pndx5032.dll
18.07.2006 11:48 6.656 pndx5016.dll
18.07.2006 11:48 278.528 pncrt.dll
07.07.2006 20:22 2.184 wpa.dbl
18.06.2006 12:58 149.992 FNTCACHE.DAT
18.06.2006 12:42 24.516 mlfcache.dat
16.06.2006 10:33 139.264 hpzjrd01.dll
12.06.2006 09:15 4.212 zllictbl.dat
02.06.2006 11:04 57.384 avsda.dll
16.05.2006 12:26 7.006 jupdate-1.5.0_06-b05.log
11.05.2006 14:37 4.087.790 fcb-screensaver.scr
11.05.2006 12:47 2.780 qtplugin.log
11.05.2006 11:50 16.832 amcompat.tlb
11.05.2006 11:50 23.392 nscompat.tlb
10.05.2006 22:28 0 h323log.txt
10.05.2006 22:08 25.065 wmpscheme.xml
10.05.2006 22:05 261 $winnt$.inf
10.05.2006 21:38 2.951 CONFIG.NT
10.05.2006 21:36 488 logonui.exe.manifest
10.05.2006 21:36 488 WindowsLogon.manifest
10.05.2006 21:36 749 wuaucpl.cpl.manifest
10.05.2006 21:36 749 sapi.cpl.manifest
10.05.2006 21:36 749 cdplayer.exe.manifest
10.05.2006 21:36 749 nwc.cpl.manifest
10.05.2006 21:36 749 ncpa.cpl.manifest
10.05.2006 21:32 21.740 emptyregdb.dat
27.04.2006 17:49 288.417 SrchSTS.exe
20.04.2006 14:27 64.512 PTPITCP.dll
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
31.03.2006 12:40 2.388.176 d3dx9_30.dll
31.03.2006 12:39 229.584 xactengine2_1.dll
31.03.2006 12:39 63.696 dxdllreg.exe
31.03.2006 12:39 62.672 xinput1_1.dll
03.02.2006 08:43 2.332.368 d3dx9_29.dll
03.02.2006 08:42 230.096 xactengine2_0.dll
03.02.2006 08:41 14.032 x3daudio1_0.dll

edit Sabina

#13 Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Temp\PMShared
C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Temp\10lanczbpfbzyvi.ABI
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\system32\ws386.ini
C:\WINDOWS\system32\aspi266877.exe
C:\WINDOWS\system32\aspi269067.exe
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\wmatimer.dll
C:\WINDOWS\system32\ikhcore.log

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 die Kaspery-Scanner Seite kann bei mir nicht angezeigt werden!
Hast Du keinen anderen Vorschlag was Scannen angeht?

Hier ist der report von avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nubmrdec

*******************

Script file located at: \??\C:\WINDOWS\System32\yyvnmcjl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Temp\PMShared deleted successfully.
File C:\Dokumente und Einstellungen\Vilmos\Lokale Einstellungen\Temp\10lanczbpfbzyvi.ABI deleted successfully.
File C:\WINDOWS\smdat32m.sys deleted successfully.
File C:\WINDOWS\smdat32a.sys deleted successfully.
File C:\WINDOWS\system32\ws386.ini deleted successfully.
File C:\WINDOWS\system32\aspi266877.exe deleted successfully.
File C:\WINDOWS\system32\aspi269067.exe deleted successfully.
File C:\WINDOWS\system32\kr_done1 deleted successfully.
File C:\WINDOWS\system32\wmatimer.dll deleted successfully.
File C:\WINDOWS\system32\ikhcore.log deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#15 multiavtool.
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie,

----------------------------------

* klicke "1" nun beginnt der Scan von Sophos
* klicke "2" , nun beginnt der Scan von Trend Micro
poste dann auch diese Reports
__________
MfG Sabina

rund um die PC-Sicherheit