Home » Viren, Trojaner & Malware Forum » Trojaner und Dialer » Themenansicht

Trojaner und Dialer

Thema ist geschlossen!
Thema ist geschlossen!
#0
08.08.2006, 18:11
fruschtuck
...neu hier

Beiträge: 8
#1 Hallo,
ich habe festgestellt dass, ein Virus auf pc, hab mit Kaspersky gescannt, fand ihn hab ihn gelöscht, nochmal mit Zonalram, fand nicht.
Hab den Pc runtergefahren, und unter Abgesichrter modus gestartet, nochmal mit Kaspersky gescannt, fand nicht.
Trotzdem verfärbt sich der Bildschirm in Gelb dann Grünn, es dauert eine Weile bis es normal wird.
Zweitens der Pc funktioniert so lahm, was nicht normal ist.
Ich bitte um Hilfe! vielen Dank

ich habe den Hijackthis durchlaufen lassen und das ist der Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 10:20:42, on 07.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.2.7.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\steuer2005\HRInstmon.dll
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\oqeaccrc.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

******************
**********

nochmal Danke schön

Fruschtuck
Seitenanfang Seitenende
09.08.2006, 01:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

poste dieses Log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2006, 21:53
fruschtuck
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo Sabine,

hier sind die Logs:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933
system32.txt
_______________________________

Verzeichnis von C:\WINDOWS\system32

09.08.2006 21:02 315.298 perfh009.dat
09.08.2006 21:02 42.230 perfc009.dat
09.08.2006 21:02 324.524 perfh007.dat
09.08.2006 21:02 52.466 perfc007.dat
09.08.2006 21:02 742.596 PerfStringBackup.INI
09.08.2006 21:00 50.116 vsconfig.xml
07.08.2006 11:26 43.520 CmdLineExt03.dll
03.08.2006 09:26 4.212 zllictbl.dat
31.07.2006 12:27 2.206 wpa.dbl
18.06.2006 17:54 394.872 vsdatant.sys
18.06.2006 17:54 71.672 zlcommdb.dll
18.06.2006 17:54 83.960 zlcomm.dll
18.06.2006 17:54 59.384 vswmi.dll
18.06.2006 17:54 100.344 vsxml.dll
18.06.2006 17:54 440.312 vsutil.dll
18.06.2006 17:54 71.672 vsregexp.dll
18.06.2006 17:54 268.280 vspubapi.dll
18.06.2006 17:54 157.688 vsinit.dll
18.06.2006 17:54 104.440 vsmonapi.dll
18.06.2006 17:54 83.960 vsdata.dll
18.06.2006 17:54 796.584 libeay32_0.9.6l.dll
13.06.2006 06:25 910.968 FNTCACHE.DAT

2399 Datei(en) 453.557.914 Bytes
0 Verzeichnis(se), 43.242.352.640 Bytes frei


temp.txt
_________________________

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\DOKUME~1\WNSCH~1\LOKALE~1\Temp

09.08.2006 21:03 192 j2ipa26m.bat
1 Datei(en) 192 Bytes
0 Verzeichnis(se), 43.242.532.864 Bytes frei


windows.txt
___________________________

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS

09.08.2006 21:02 910 nsw.log
09.08.2006 21:02 1.693.671 setupapi.log
09.08.2006 21:01 128.484 Windows Update.log
09.08.2006 20:59 0 0.log
09.08.2006 20:59 4.326 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
09.08.2006 20:59 1.920 ModemLog_Standardmodem.txt
09.08.2006 20:58 159 wiadebug.log
09.08.2006 20:58 50 wiaservc.log
09.08.2006 20:57 2.048 bootstat.dat
09.08.2006 20:56 32.442 SchedLgU.Txt
06.08.2006 13:32 1.694 win.ini
06.08.2006 13:32 271 system.ini
06.08.2006 12:39 12.862 EPISMG00.SWB
31.07.2006 19:08 2.722.590 ntbtlog.txt
31.07.2006 16:03 53 Kyor.ini
31.07.2006 15:22 215 wmsetup.log
18.06.2006 17:54 75.776 zllsputility.exe
12.06.2006 19:53 3.120 MF_C425.lfa
12.06.2006 19:53 3.120 MF_C420.lfa
12.06.2006 19:53 3.120 MF_C421.lfa

326 Datei(en) 581.457.882 Bytes
0 Verzeichnis(se), 43.242.500.096 Bytes frei


und c.txt
______________________

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

09.08.2006 21:24 0 sys.txt
09.08.2006 21:22 1.243 windows.txt
09.08.2006 21:21 16.522 system.txt
09.08.2006 21:21 286 temp.txt
09.08.2006 21:20 286 systemtemp.txt
09.08.2006 21:20 1.324 system32.txt
09.08.2006 20:56 804.491.264 pagefile.sys
06.08.2006 13:32 193 boot.ini
16.05.2006 20:37 0 DBS.TXT
17.02.2006 10:58 45.144 hpfr3420.log

27 Datei(en) 804.929.810 Bytes
0 Verzeichnis(se), 43.242.504.192 Bytes frei





Danke schön
Seitenanfang Seitenende
09.08.2006, 22:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 fruschtuck

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\oqeaccrc.dll (file missing)
PC neustarten

**
poste dieses log
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.08.2006, 00:10
fruschtuck
...neu hier

Themenstarter

Beiträge: 8
#5 Hallo,
das ist der Log:

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CHotkey" = "mHotkey.exe" ["Chicony"]
"Zone Labs Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"ledpointer" = "CNYHKey.exe" ["Chicony"]
"kav" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "EpsonToolBandKicker Class"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CD Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"
-> {HKLM...CLSID} = "SmartFTP Shell Extension DLL"
\InProcServer32\(Default) = "C:\Programme\SmartFTP\smarthook.dll" ["SmartFTP"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{FF80502B-26AA-40F8-BB5F-5F81F299C45B}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\oqeaccrc.dll" [file not found]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Web Anti-Virus"
-> {HKLM...CLSID} = "Web Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
IGXMADD\(Default) = "{6DB8751F-2BBF-11d2-A39B-00C04FB96AD2}"
-> {HKLM...CLSID} = "Micrografx Share Media File Import Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Corel\CorelDRAW ESSENTIALS 2\Photobook\Share\Media\igxMadd.dll" ["Micrografx, Inc."]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\wünsch\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Enabled Scheduled Tasks:
------------------------

"PC Health-Taskplaner für Upload-Bibliothek" -> launches: "C:\WINDOWS\PCHealth\UploadLB\Binaries\UploadM.exe -WakeUp" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\System32\ZoneLabs\vetredir.dll ["Computer Associates International, Inc."], 01 - 03, 09
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 10 - 27
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{84FAA847-1400-4400-BC93-D338EF03127B}\
"ButtonText" = "MedionShop"
"Exec" = "http://www.medionshop.de/" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.4.2_03"
\InProcServer32\(Default) = "C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll" ["JavaSoft / Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Web Anti-Virus"

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\INetRepl.dll" [MS]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.aldi.com
[Strings]: .com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

CA ISafe, CAISafe, "C:\WINDOWS\System32\ZoneLabs\isafe.exe" ["Computer Associates International, Inc."]
Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"]
GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"]
Kaspersky Anti-Virus 6.0, AVP, "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe -r" ["Kaspersky Lab"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Norton Unerase Protection, NProtectService, "C:\Programme\Norton Utilities\NPROTECT.EXE" ["Symantec Corporation"]
Speed Disk service, Speed Disk service, "C:\Programme\Speed Disk\nopdb.exe" ["Symantec Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX4800 Series 2KMonitor5E\Driver = "E_FLMADE.DLL" ["SEIKO EPSON CORPORATION"]
hpzsnt05\Driver = "hpzsnt05.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 1438 seconds, including 19 seconds for message boxes)


Danke

Mfg
Dieser Beitrag wurde am 10.08.2006 um 00:32 Uhr von fruschtuck editiert.
Seitenanfang Seitenende
10.08.2006, 00:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - oqeaccrc.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
{FF80502B-26AA-40F8-BB5F-5F81F299C45B}-> loeschen

PC neustarten

scanne (Option 1 und 2)
http://virus-protect.org/artikel/tools/smitfrautfix.html
der Bildschirm Hintergrund wird MS-Blau werden.

**
hast du den kaspersky schon lange auf dem System ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.08.2006, 01:40
fruschtuck
...neu hier

Themenstarter

Beiträge: 8
#7 Hallo,
ich habe den "oqeaccrc.dll" wie du mir beschreibt hast gesucht, aber nicht gefunden, hier ist der log:

SmitFraudFix v2.81

Scan done at 1:22:40,73, Do 10.08.2006
Run from C:\Dokumente und Einstellungen\wnsch\Desktop\Virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Den Kaspersky habe ich erst vor 3 Wochen installiert.
Danke

Mfg
Seitenanfang Seitenende
10.08.2006, 10:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 der rote Eintrag muss aus der Registry geloescht werden:

Zitat

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

{FF80502B-26AA-40F8-BB5F-5F81F299C45B}
InProcServer32\(Default) = "C:\WINDOWS\system32\oqeaccrc.dll
dann deinstalliere den kaspersky wieder,du hast wahrscheinlich die Trial-Version installiert .... es kann sein, dass dann dein System nicht mehr lahmt und installiere z.B:
Antivirus free
http://virus-protect.org/antivirus.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.08.2006, 12:19
fruschtuck
...neu hier

Themenstarter

Beiträge: 8
#9 Hallo,
schon weg, ich habe die volle Version von Kaspersky

mfg
Seitenanfang Seitenende
10.08.2006, 14:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10

Zitat

Trotzdem verfärbt sich der Bildschirm in Gelb dann Grünn, es dauert eine Weile bis es normal wird.
Zweitens der Pc funktioniert so lahm, was nicht normal ist.
wie steht es .... PC funktioniert wieder, wie er soll ...oder ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 09:40
fruschtuck
...neu hier

Themenstarter

Beiträge: 8
#11 Hallo,
Pc ein bischen schneller, aber der Bildschirm verfärbt sich immer noch

mfg
Seitenanfang Seitenende
12.08.2006, 12:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 dises Verfaerben kann auch ein Hardware-Problem sein, seit wann tritt das auf ? seit der Verseuchung ? Wie alt ist dein Monitor ?
Ist der Hintergrund blau oder hast du ein bestimmtes Bild (Wallpaper) ?

rechtsklick auf den Bildschirm -> Eigenschaften - >Desktop -> stelle einen neuen Hintergrund ein

Zitat

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\wünsch\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"
es erscheint dann zum Beispiel das hellblau von Microsoft.

Zitat

C:\Dokumente und Einstellungen\Sabina\Local Settings\Anwendungsdaten\Microsoft\Wallpaper1.bmp

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 13:12
fruschtuck
...neu hier

Themenstarter

Beiträge: 8
#13 Hallo,
das Verfärben kommt nicht von Hardware,
ich habe ein Flachbildschirm, und nicht vom Wallpaper,
dazu hat er heute angefangen zum pippen, ich musste den Bildschirm lautlos machen.
mfg
Seitenanfang Seitenende
12.08.2006, 13:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

verfärbt sich der Bildschirm in Gelb dann Grünn

Zitat

dazu hat er heute angefangen zum pippen, ich musste den Bildschirm lautlos machen.
das ist eindeutig ein Hardwareproblem, anders kann ich es mir nicht erklaeren, auf keinen Fall hat es was mit der Virenverseuchung zu tun.

Hast du das Wallpaper umgestellt, wie ich beschrieben habe ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 14:44
fruschtuck
...neu hier

Themenstarter

Beiträge: 8
#15 hab schon, ich denke der Virus ist weg dk
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1