Lästiger Trojaner PurityScan

#1 Hallo liebe Leidensgenossen,

ich habe einen lästigen Trojaner auf dem Rechner, den ich weder mit Ewido, NOD 32 noch mit Antivir loswerde. Habe den Rechner im abgesicherten Modus gescannt und es wurden auch einige Infektionen erkannt und beseitigt. Dennoch taucht das Ding immer wieder auf. Im Moment möchte ich eine Neuinstallation von Windows XP irgendwie vermeiden. Die Seite von Sabina virus protect ist mir zu kompliziert.
Vieleicht kann mir jemand Schritt für Schritt weiterhelfen.

Vorerst vielen Dank

Howard aus Köln

#2 HowardKöln

poste bitte zu Beginn diese Logs
http://board.protecus.de/t23187.htm

ich checke dein System mal durch, es werden einige Logs vonnoeten sein, aber in der Regel bekommt man den Purityscan geloescht
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina, zunächst vielen Dank für Deine Antwort, hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:16:57, on 11.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Eset\nod32kui.exe
C:\Prog\mp3\Winamp5.9\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Prog\Internet\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Prog\Pocket-PC\ActiveSync\wcescomm.exe
C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft\?srss.exe
C:\Prog\POCKET~1\ACTIVE~1\rapimgr.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Prog\Antivir\ewido anti-spyware 4.0\guard.exe
C:\Prog\tools\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Eset\nod32krn.exe
C:\Prog\tools\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Prog\tools\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Prog\Internet\T-DSL SpeedManager\tsmsvc.exe
C:\Prog\Internet\Thunderbird\thunderbird.exe
C:\PROG\INTERNET\FIREFOX\FIREFOX.EXE
C:\Prog\büro\Acrobat Reader 7.0\Reader\AcroRd32.exe
D:\aktuelle Downloads\Software\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://169.254.217.225:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - {CE12BBF3-0919-5593-4E25-5810942827C6} - C:\WINDOWS\system32\soji.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Prog\Internet\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Prog\büro\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0F2CBF4F-06A5-027B-F4EF-01D5F87DEAC8} - (no file)
O2 - BHO: (no name) - {CE12BBF3-0919-5593-4E25-5810942827C6} - C:\WINDOWS\system32\soji.dll
O2 - BHO: (no name) - {E031C467-7683-200C-DFFD-2517B48A5ECE} - (no file)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Prog\Internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WinampAgent] C:\Prog\mp3\Winamp5.9\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Prog\Internet\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Prog\tools\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [Psrr] "C:\DOKUME~1\Howard\EIGENE~1\SMBOLS~1\spoolsv.exe" -vt yazb
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Prog\Pocket-PC\ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Iiwhqyc] C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft\?srss.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Prog\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Prog\POCKET~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Prog\POCKET~1\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Prog\POCKET~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Prog\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Prog\Internet\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2C2CAD36-9E84-44D9-85E2-C3BE7054E53D} - C:\Prog\tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2C2CAD36-9E84-44D9-85E2-C3BE7054E53D} - C:\Prog\tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://169.254.217.225:3128/ken.html
O20 - AppInit_DLLs: NVDESK32.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Prog\Antivir\ewido anti-spyware 4.0\guard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Prog\tools\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Prog\tools\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Prog\tools\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Prog\Internet\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Prog\tools\TuneUp Utilities 2004\WinStylerThemeSvc.exe



Start Time= 11.08.2006 2:00:33,30

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-09 09:47:46 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-08-07 15:38:20 2 ( A.... ) "C:\WINDOWS\system32\wintit.exe"
2006-08-07 15:38:18 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\W?nSxS"
2006-08-06 12:49:40 ( .D... ) "C:\Programme\Gemeinsame Dateien\ODBC"
2006-08-06 12:42:32 ( .D.H. ) "C:\Programme\WindowsUpdate"
2006-08-06 12:37:14 ( .D... ) "C:\Programme\ComPlus Applications"
2006-08-06 12:33:12 ( .D... ) "C:\Programme\Messenger"
2006-08-04 19:22:32 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft"
2006-07-31 18:38:56 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\ICQLite"
2006-07-28 11:22:42 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\Google"
2006-07-26 18:40:32 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\Apple Computer"
2006-07-26 16:11:18 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\Ulead Systems"
2006-07-26 16:04:44 ( .D... ) "C:\Programme\SmartSound Software"
2006-07-26 16:00:38 ( .D... ) "C:\Programme\Windows Media Components"
2006-07-26 11:20:22 157 ( A.... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\KSK2005.ini"
2006-07-25 21:41:44 139264 ( A.... ) "C:\WINDOWS\system32\soji.dll"
2006-07-25 19:51:00 114 ( A.... ) "C:\AUTOEXEC.BAT"
2006-07-25 19:29:24 ( .D... ) "C:\Programme\Pinnacle"
2006-07-22 11:55:54 ( .D... ) "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard"
2006-07-21 15:27:34 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\CyberLink"
2006-06-23 09:46:42 93664 ( A.SH. ) "C:\Programme\Gemeinsame Dateien\Y1304OU.exe"
2006-06-16 09:42:12 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\vlc"
2006-05-20 16:44:10 15360 ( A.... ) "C:\WINDOWS\system32\BASSMOD.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-07 15:38 139.264 C:\WINDOWS\system32\soji.dll
2006-08-06 13:37 754.974.720 C:\pagefile.sys
2006-08-06 10:23 502.841.344 C:\hiberfil.sys
2006-07-26 19:00 49.250 C:\WINDOWS\system32\javaw.exe
2006-07-26 19:00 49.248 C:\WINDOWS\system32\java.exe
2006-07-26 19:00 127.078 C:\WINDOWS\system32\javaws.exe
2006-07-25 23:18 3.480 C:\WINDOWS\system32\mbmiodrvr.sys
2006-07-25 19:51 84.992 C:\WINDOWS\system32\ATL70.DLL
2006-07-25 19:47 964.608 C:\WINDOWS\system32\MFC70U.DLL
2006-07-25 19:47 54.784 C:\WINDOWS\system32\MSVCI70.DLL
2006-07-25 19:47 487.424 C:\WINDOWS\system32\MSVCP70.DLL
2006-07-20 11:04 2 C:\WINDOWS\system32\wintit.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Dit"="Dit.exe"
"nod32kui"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"WinampAgent"="C:\\Prog\\mp3\\Winamp5.9\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"T-DSL SpeedMgr"="\"C:\\Prog\\Internet\\T-DSL SpeedManager\\SpeedMgr.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"QuickTime Task"="\"C:\\Prog\\tools\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Psrr"="\"C:\\DOKUME~1\\Howard\\EIGENE~1\\SMBOLS~1\\spoolsv.exe\" -vt yazb"
"H/PC Connection Agent"="\"C:\\Prog\\Pocket-PC\\ActiveSync\\wcescomm.exe\""
"Iiwhqyc"="C:\\Dokumente und Einstellungen\\Howard\\Anwendungsdaten\\?icrosoft\\?srss.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="\"C:\\Prog\\Pocket-PC\\ActiveSync\\wcescomm.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{0cab0400-7395-11d0-a5e5-0020afe2fdd9}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\ProgGrafik\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostStartTrayApp"
"hkey"="HKLM"
"command"="C:\\Prog\\tools\\Norton SystemWorks\\Norton Ghost\\GhostStartTrayApp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KEN Taskbar Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kentbsrv"
"hkey"="HKLM"
"command"="\"c:\\prog\\tools\\KEN\\kentbsrv.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NVIDIA nForce APU1 Utilities"="NVATray.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"T-DSL SpeedMgr"="\"C:\\Prog\\Internet\\T-DSL SpeedManager\\SpeedMgr.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_01\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Prog\\tools\\QuickTime\\qttask.exe\" -atboottime"
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"
"ElbyCheckElbyCDFL"="c:\\prog\\brenner\\CloneCD\\ElbyCheck.exe /L ElbyCDFL"
"GhostStartTrayApp"="C:\\Prog\\tools\\Norton SystemWorks\\Norton Ghost\\GhostStartTrayApp.exe"
"Omnipage"="C:\\Prog\\büro\\OmniPageSE\\opware32.exe"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job
C:\WINDOWS\tasks\XoftSpy.job

Completion time: 11.08.2006 2:00:53,62
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt

ComboFix.2006-08-11.020033.txt

Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\

11.08.2006 02:14 0 sys.txt
11.08.2006 02:13 9.960 system.txt
11.08.2006 02:13 496 systemtemp.txt
11.08.2006 02:11 115.760 system32.txt
11.08.2006 02:05 502.841.344 hiberfil.sys
11.08.2006 02:05 754.974.720 pagefile.sys
06.08.2006 13:48 318 boot.ini
25.07.2006 19:50 114 AUTOEXEC.BAT
05.04.2006 10:34 1.024 .rnd
06.02.2006 13:30 443 Connection.Log
23.01.2006 15:36 429 datFind.bat
13.05.2005 11:28 0 CONFIG.SYS
13.05.2005 11:28 0 IO.SYS
13.05.2005 11:28 0 MSDOS.SYS
10.08.2004 14:00 4.952 bootfont.bin
10.08.2004 14:00 251.184 ntldr
10.08.2004 14:00 47.564 NTDETECT.COM
17 Datei(en) 1.258.248.308 Bytes
0 Verzeichnis(se), 30.148.739.072 Bytes frei

Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\WINDOWS\system32

11.08.2006 02:09 398.316 perfh009.dat
11.08.2006 02:09 60.414 perfc009.dat
11.08.2006 02:09 413.910 perfh007.dat
11.08.2006 02:09 73.838 perfc007.dat
11.08.2006 02:09 957.046 PerfStringBackup.INI
11.08.2006 02:04 141 imon1.dat
10.08.2006 19:34 2.278 wpa.dbl
09.08.2006 09:47 57.384 avsda.dll
07.08.2006 15:38 2 wintit.exe
26.07.2006 19:00 3.069 jupdate-1.5.0_02-b09.log
26.07.2006 16:12 196.960 FNTCACHE.DAT
25.07.2006 21:41 139.264 soji.dll
20.05.2006

Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\WINDOWS

11.08.2006 02:06 289.851 WindowsUpdate.log
11.08.2006 02:05 0 0.log
11.08.2006 02:05 159 wiadebug.log
11.08.2006 02:05 50 wiaservc.log
11.08.2006 02:05 2.048 bootstat.dat
11.08.2006 02:04 32.596 SchedLgU.Txt
11.08.2006 02:01 385.127 setupact.log
06.08.2006 10:18 1.302.404 ntbtlog.txt
03.08.2006 20:01 143 NeroDigital.ini
02.08.2006 11:50 155 winamp.ini
01.08.2006 12:04 4.359 ODBCINST.INI
30.07.2006 12:27 19 install_Studio10.log
30.07.2006 12:24 13.162 wmsetup.log
26.07.2006 16:03 1.227.741 setupapi.log
25.07.2006 19:58 22 VFO.INI
12.06.2006 11:30 25.713 CSTBox.INI
07.06.2006 18:23 2.518 Microsoft.MIF
22.05.2006 11:57 116 homeDVD-Fotos4_5_dlx.INI
22.05.2006 09:57 85 magix.ini
17.05.2006 09:52 611 win.ini
17.05.2006 09:52 227 system.ini
03.05.2006 17:19 454 nsw.log
15.04.2006 22:05 0 homeDVD-Fotos5.INI


Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\DOKUME~1\Howard\LOKALE~1\Temp

11.08.2006 02:09 240 WcesView.log
11.08.2006 02:08 16.384 Perflib_Perfdata_4a8.dat
11.08.2006 02:05 819 WCESLog.log
11.08.2006 02:05 375 WCESCOMM.LOG
11.08.2006 02:05 408 jusched.log
5 Datei(en) 18.226 Bytes
0 Verzeichnis(se), 30.148.763.648 Bytes frei

Ich hoffe ich habe Dir alle erforderlichen Logs erstellt und Du kannt damit was anfangen.

Offenbar habe ich auch ein Problem mit einer sog. cmd.exe, welche sich System32-Verzeichnis befindet und sich auch nach beenden des Prozesses nicht löschen läßt.

Die Pfade kenne ich nicht genau, manchmal ist es der Papierkorb, manchmal ein Verzeichnis unter Dokumente und Einstellungen. Ich werde sie in Zukunft notieren.

Ich habe zwei printscreens von Viruswarnungen gemacht, wie kann ich sie Dir mailen?

MFG Howard aus Köln

#4 ich brauche keine Viruswarnungen zu sehen, ich sehe die viren von hier

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\WindowsUpdate" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

hier folgt der Text der Listen.bat

Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Programme\WindowsUpdate

Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Windows\System32\Com

13.05.2005 11:16 <DIR> .
13.05.2005 11:16 <DIR> ..
10.08.2004 14:00 195.584 comadmin.dll
10.08.2004 14:00 61.440 comempty.dat
10.08.2004 14:00 77.348 comexp.msc
10.08.2004 14:00 9.728 comrepl.exe
10.08.2004 14:00 5.120 comrereg.exe
10.08.2004 14:00 19.456 mtsadmin.tlb
6 Datei(en) 368.676 Bytes
2 Verzeichnis(se), 30.136.549.376 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
04.10.2004 18:21 1.706.800 gdiplus.dll
04.10.2004 18:21 283.296 IDrop.ocx
04.10.2004 18:21 114.848 IDropENU.dll
19.09.2003 15:22 299.008 isusweb.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
04.10.2004 18:21 114.688 vizable.ocx
8 Datei(en) 2.740.986 Bytes
0 Verzeichnis(se), 30.136.545.280 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Programme\Common Files

08.11.2005 18:50 <DIR> .
08.11.2005 18:50 <DIR> ..
08.11.2005 18:50 <DIR> Borland Shared
14.05.2005 19:37 <DIR> Microsoft Shared
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 30.136.545.280 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Dokumente und Einstellungen\Howard\Eigene Dateien

09.08.2006 17:18 <DIR> .
09.08.2006 17:18 <DIR> ..
28.11.2005 16:45 <DIR> Corel User Files
21.07.2006 15:27 <DIR> CyberLink
25.07.2006 19:58 <DIR> Eigene Bilder
27.11.2005 14:37 <DIR> Eigene eBooks
22.05.2006 11:58 <DIR> Eigene Musik
16.02.2006 17:32 <DIR> Eigene Videos
31.07.2006 18:42 <DIR> ICQ Lite
22.05.2006 10:09 <DIR> My MAGIX Online Druck Service Files
05.03.2006 17:46 <DIR> NeroVision
30.01.2006 11:04 <DIR> ScheduleOCR Input
30.01.2006 11:04 <DIR> ScheduleOCR Output
26.07.2006 16:11 <DIR> Ulead VideoStudio
27.11.2005 18:55 <DIR> Updater
20.07.2006 11:04 <DIR> ??stem
03.08.2006 19:04 <DIR> ?racle
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 30.136.545.280 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Dokumente und Einstellungen\Howard\Lokale Einstellungen\Temp

11.08.2006 11:02 <DIR> .
11.08.2006 11:02 <DIR> ..
11.08.2006 10:17 23.388 3-8-06_camd.rar
11.08.2006 10:19 612 jusched.log
11.08.2006 10:20 <DIR> Ocpr
11.08.2006 02:08 16.384 Perflib_Perfdata_4a8.dat
11.08.2006 10:50 16.384 Perflib_Perfdata_cc0.dat
11.08.2006 10:19 375 WCESCOMM.LOG
11.08.2006 02:05 1.229 WCESLog.log
11.08.2006 10:21 432 WcesView.log
7 Datei(en) 58.804 Bytes
3 Verzeichnis(se), 30.136.545.280 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\WINDOWS\Temp

11.08.2006 11:02 <DIR> .
11.08.2006 11:02 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 30.136.541.184 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Temp

05.02.2006 19:59 <DIR> .
05.02.2006 19:59 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 30.136.541.184 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Programme

06.08.2006 12:43 <DIR> .
06.08.2006 12:43 <DIR> ..
07.11.2005 11:43 <DIR> Accoona
23.03.2006 11:31 <DIR> Adobe
09.08.2006 16:35 <DIR> AntiVir PersonalEdition Classic
13.05.2005 19:08 <DIR> Application X
08.11.2005 18:50 <DIR> BDE5
08.11.2005 18:50 <DIR> Common Files
06.08.2006 12:37 <DIR> ComPlus Applications
25.07.2006 22:37 <DIR> CyberLink
17.04.2006 12:07 <DIR> devolo
02.06.2006 14:32 <DIR> EPSON
14.04.2006 08:13 <DIR> Eset
28.08.2005 12:21 <DIR> FlowFact
06.08.2006 12:49 <DIR> Gemeinsame Dateien
28.11.2005 13:44 <DIR> Hewlett-Packard
07.06.2006 13:47 <DIR> ifap
05.04.2006 11:22 <DIR> Internet Explorer
26.07.2006 19:00 <DIR> Java
22.05.2006 10:11 <DIR> MAGIX Online Druck Service
06.08.2006 12:33 <DIR> Messenger
13.05.2005 11:29 <DIR> microsoft frontpage
13.05.2005 11:34 <DIR> Movie Maker
19.04.2006 16:02 <DIR> MSN
13.05.2005 11:13 <DIR> MSN Gaming Zone
06.08.2006 12:40 <DIR> NetMeeting
13.05.2005 11:16 <DIR> Online Services
13.05.2005 11:25 <DIR> Online-Dienste
13.05.2005 11:34 <DIR> Outlook Express
27.04.2006 19:12 <DIR> Pegasys Inc
25.07.2006 19:29 <DIR> Pinnacle
14.03.2006 19:12 <DIR> POI-Warner MN5 Edition
23.10.2005 09:08 <DIR> Quicken2003
11.03.2006 12:33 <DIR> Quicken2006
26.07.2006 16:04 <DIR> SmartSound Software
23.10.2005 13:01 <DIR> Sybase
06.02.2006 20:07 <DIR> Symantec
02.07.2005 11:04 <DIR> Syncrosoft
30.08.2005 16:21 <DIR> Tracker Software
26.07.2006 16:00 <DIR> Windows Media Components
06.08.2006 12:46 <DIR> Windows Media Player
13.05.2005 11:12 <DIR> Windows NT
13.05.2005 11:15 <DIR> Windows Plus
13.05.2005 11:29 <DIR> xerox
23.03.2006 11:44 <DIR> Yahoo!
0 Datei(en) 0 Bytes
45 Verzeichnis(se), 30.136.541.184 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Dokumente und Einstellungen\Howard\Lokale Einstellungen\Anwendungsdaten

07.11.2005 13:42 <DIR> Adobe
26.07.2006 18:40 <DIR> Apple Computer
16.02.2006 17:27 <DIR> ApplicationHistory
15.04.2006 22:55 26.112 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13.05.2005 12:28 139 fusioncache.dat
28.07.2006 12:11 57.904 GDIPFONTCACHEV1.DAT
28.07.2006 11:26 <DIR> Google
15.05.2005 13:48 <DIR> Help
20.05.2005 11:37 <DIR> Identities
22.01.2006 17:48 <DIR> Microsoft
18.12.2005 11:51 <DIR> RadonLabs
27.01.2006 18:11 <DIR> ratDVD
15.05.2005 20:39 <DIR> Roxio
26.07.2006 18:59 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150020}
3 Datei(en) 84.155 Bytes
11 Verzeichnis(se), 30.136.541.184 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Dokumente und Einstellungen\Howard\Anwendungsdaten

18.03.2006 11:35 2.508 $_hpcst$.hpc
04.05.2006 12:24 <DIR> Adobe
23.03.2006 11:46 1.557 AdobeDLM.log
12.03.2006 19:32 <DIR> AdobeUM
23.11.2005 13:16 <DIR> Ahead
26.07.2006 18:40 <DIR> Apple Computer
02.10.2005 13:17 <DIR> Atari
12.06.2006 11:35 <DIR> Canon
27.01.2006 18:23 <DIR> CopyToDvd
21.11.2005 14:29 <DIR> Corel
21.07.2006 15:27 <DIR> CyberLink
30.06.2005 10:22 <DIR> DataDesign
23.03.2006 11:46 0 dm.ini
28.07.2006 11:22 <DIR> Google
15.05.2005 13:48 <DIR> Help
31.07.2006 18:42 <DIR> ICQLite
13.05.2005 11:36 <DIR> Identities
28.04.2006 09:35 <DIR> InstallShield Installation Information
26.07.2006 11:20 157 KSK2005.ini
17.05.2006 09:48 <DIR> Leadertech
04.11.2005 19:21 <DIR> Macromedia
22.05.2006 11:57 <DIR> MAGIX
07.10.2005 20:07 <DIR> Microsoft Games
13.05.2005 13:00 <DIR> Mozilla
07.11.2005 13:35 <DIR> Opera
13.06.2005 10:36 <DIR> pdfMachine
24.05.2005 09:35 <DIR> Pegasys Inc
15.05.2005 20:42 <DIR> Roxio
25.01.2006 21:04 <DIR> ScanSoft
19.06.2005 12:49 <DIR> Sun
21.09.2005 18:48 <DIR> Symantec
20.05.2006 15:35 <DIR> T-DSL SpeedManager
23.05.2005 11:42 <DIR> Thunderbird
20.05.2005 10:23 <DIR> TuneUp Software
26.07.2006 16:11 <DIR> Ulead Systems
16.06.2006 09:42 <DIR> vlc
07.08.2006 15:38 <DIR> W?nSxS
07.08.2006 15:38 <DIR> ?icrosoft
4 Datei(en) 4.222 Bytes
34 Verzeichnis(se), 30.136.537.088 Bytes frei
Datentr„ger in Laufwerk C: ist 40 GB
Volumeseriennummer: CCE0-F96D

Verzeichnis von C:\Programme\Gemeinsame Dateien

06.08.2006 12:49 <DIR> .
06.08.2006 12:49 <DIR> ..
23.03.2006 11:40 <DIR> Adobe
08.11.2005 14:32 <DIR> Adobe Systems Shared
13.05.2005 12:46 <DIR> Ahead
05.04.2006 10:32 <DIR> AVM
25.06.2005 11:47 <DIR> Buhl Data Service
30.06.2005 08:14 <DIR> cobra
21.11.2005 14:10 <DIR> Corel
25.06.2005 11:47 <DIR> datadesign
21.11.2005 14:10 <DIR> Designer
13.05.2005 11:24 <DIR> Dienste
02.12.2005 21:39 <DIR> EPSON
21.11.2005 14:10 <DIR> InstallShield
19.06.2005 12:47 <DIR> Java
01.08.2006 12:04 <DIR> Lexware
15.04.2006 22:01 <DIR> MAGIX Shared
18.03.2006 11:32 <DIR> Microsoft Shared
13.05.2005 11:24 <DIR> MSSoap
06.08.2006 12:49 <DIR> ODBC
16.05.2005 11:47 <DIR> ROXIO Shared
25.10.2005 10:21 <DIR> Sage Group
10.12.2005 19:34 <DIR> Sage KHK Shared
09.03.2006 09:59 <DIR> ScanSoft Shared
13.05.2005 11:26 <DIR> SpeechEngines
10.02.2006 18:30 <DIR> Symantec Shared
13.05.2005 11:34 <DIR> System
22.07.2006 11:55 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
28 Verzeichnis(se), 30.136.537.088 Bytes frei


MFG Howard aus Köln

#6 1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {CE12BBF3-0919-5593-4E25-5810942827C6} - C:\WINDOWS\system32\soji.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {0F2CBF4F-06A5-027B-F4EF-01D5F87DEAC8} - (no file)
O2 - BHO: (no name) - {CE12BBF3-0919-5593-4E25-5810942827C6} - C:\WINDOWS\system32\soji.dll
O2 - BHO: (no name) - {E031C467-7683-200C-DFFD-2517B48A5ECE} - (no file)

O4 - HKCU\..\Run: [Psrr] "C:\DOKUME~1\Howard\EIGENE~1\SMBOLS~1\spoolsv.exe" -vt yazb
O4 - HKCU\..\Run: [Iiwhqyc] C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft\?srss.exe

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\CE12BBF3-0919-5593-4E25-5810942827C6}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Psrr"=-
"Iiwhqyc"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\Programme\Gemeinsame Dateien\Y1304OU.exe
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\system32\wintit.exe
C:\WINDOWS\system32\soji.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

5.
Loeschen am besten im abgesicherten modus:

C:\Dokumente und Einstellungen\Howard\Eigene Dateien\
20.07.2006 11:04 <DIR> ??stem
03.08.2006 19:04 <DIR> ?racle

C:\Dokumente und Einstellungen\Howard\Anwendungsdaten
07.08.2006 15:38 <DIR> W?nSxS
07.08.2006 15:38 <DIR> ?icrosoft

C:\Programme\WindowsUpdate

Beispiel, wie sich der purityscan darstellt:





du musst also hauptsaechlich nach Datum suchen...............
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

Hijackthis findet beim scan die Einträge:

O4 - HKCU\..\Run: [Psrr] "C:\DOKUME~1\Howard\EIGENE~1\SMBOLS~1\spoolsv.exe" -vt yazb
O4 - HKCU\..\Run: [Iiwhqyc] C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft\?srss.exe

nicht, ich kann also kein Häkchen setzen.


Liebe Grüße
Howard aus Köln

#8 na ja, ich hatte es in die REGEDIT4 mit reingepackt
Ist also schon geloescht.

Und, ist der purityscan besiegt ????
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

ich habe nun alles gemacht, wie Du es vorgeschlagen hast. Ob das Ding jetzt erledigt ist kann ich noch nicht sagen, werde es Dir aber in einigen Tagen mitteilen.

Auf jeden Fall vielen Dank für Deine Hilfe.

MFG Howard aus Köln

#10 du kannst es ueberpruefen.

Onlinevirenscans
http://virus-protect.org/onlinescan.html

kopiere die scanreporte hier, wenn was gefunden wird, z.B. von Panda, von kaspersky, Bitdefender...usw.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

bevor ich heute morgen Deine neue Nachricht lesen konnte hatte ich leider schon wieder eine Meldung von NOD32.

Datei:
c:\System Volume Information\_restore-(9601CDF1-4AB5-478C....\A0316335.dll

Thread:
eine Variante von Win32/Adware.PurityScan Anwendung

Kommentar:

Versuch Datei zu erstellen durch: C:\Windows\System32\svchost.exe. Die Datein wurde in Quaratäne verschoben usw....

Ich werde nun Deinen Tip erledigen.

#12 HowardKöln

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
multiavtool
http://virus-protect.org/multiavtool.html

* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,

nach längeren Testläufen muß ich sagen: Ich bin das Ding los, dank Deiner Hilfe.

Vielen, vielen Dank.

Gruß Howard