Trojan.Win32.Small.fb infiziert meinen Laptop?

#1 1. Teil wurde gelöscht.

gefunden: trojanisches Programm Trojan.Win32.Small.fb

usw....
Was kann ich tun?
Wir sind eine WG, der Übeltäter wird sich nicht melden...
Egal, jedenfalls stehen wir ganz schön unter Druck.

Hier mein HJT-Log.
Was mir auffällig erschien habe ich rot gemacht.
Seht Ihr noch mehr?

Logfile of HijackThis v1.99.1
Scan saved at 15:46:24, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Software\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.viruslist.com/de/search?VN=Trojan-Downloader.HTML.Agent.aq&referer=kis
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - re*://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122994602968

O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA698B4-02FE-4E5D-B102-0DE87B787246}: NameServer = 85.255.116.68,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9F6DD0-71AF-4771-A242-BC98BB4A740D}: NameServer = 85.255.116.68,85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{3AA698B4-02FE-4E5D-B102-0DE87B787246}: NameServer = 85.255.116.68,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.100

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Danke Sabina, für deine schnelle Antwort... ich habe nicht oft mit Trojanern zu kämpfen, deshalb dauert das etwas.
Eine Frage - im Moment gehe ich über einen anderen PC in das I-Net um die Programme zur Analyse downzuloaden und diesen Text hier zu editieren.
Ist doch richtig oder?


Zwischendrin habe ich festgestellt, dass mein
Modus Systemwiederherstellung "aktiv" ist.... ist das ein grober Fehler?
Wenn ja, alles nochmal??


zu Punkt 1.
Hier das log von combofix.exe

Admin - 06-08-19 12:00:12,35
ComboFix 06.08.18 - Running from: C:\Dokumente und Einstellungen\Admin\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-07-19 to 2006-08-19 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-18 15:54 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lavasoft
2006-08-18 15:44 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Talkback
2006-08-18 15:43 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-18 15:43 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla
2006-08-02 15:29 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia
2006-08-02 15:20 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software
2006-08-02 08:31 -------- d-------- C:\Programme\Gemeinsame Dateien\Lexware
2006-08-02 08:15 -------- d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Roxio
2006-07-19 17:37 -------- d-------- C:\Programme\Trojancheck 6
2006-07-01 08:26 45352 --a------ C:\WINDOWS\system32\drivers\klin.sys
2006-06-30 15:40 -------- d-------- C:\Programme\Kaspersky Lab
2006-06-28 09:57 424718 --a------ C:\WINDOWS\system32\{05850328-BCC6-4835-AAD5-2712E435540D}.exe
2006-06-28 09:57 -------- d-------- C:\Programme\KillAndClean
2006-05-31 10:19 425020 --a------ C:\WINDOWS\system32\kilacln.exe
2006-05-20 20:32 602632 --a------ C:\WINDOWS\system32\filesafer23.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"SiSPower"="Rundll32.exe SiSPower.dll,ModeAgent"
"SiS Windows KeyHook"="C:\\WINDOWS\\system32\\keyhook.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"LManager"="C:\\Programme\\Launch Manager\\QtZgAcer.EXE"
"RoxioDragToDisc"="\"C:\\Programme\\Roxio\\Easy CD Creator 6\\DragToDisc\\DrgToDsc.exe\""
"SoundMan"="SOUNDMAN.EXE"
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"kis"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""
"Trojancheck 6 Guard"="C:\\Programme\\Trojancheck 6\\tcguard.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"RoxioAudioCentral"="\"C:\\Programme\\Roxio\\Easy CD Creator 6\\AudioCentral\\RxMon.exe\""
"RoxioEngineUtility"="\"C:\\Programme\\Gemeinsame Dateien\\Roxio Shared\\System\\EngUtil.exe\""
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 19.08.2006 12:00:49.23
ComboFix.txt


Punkt 2 CleanUp wurde ausgeführt. Log auch posten?

zu Punkt 3.

Datenträger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

18.08.2006 14:57 1.158 wpa.dbl
19.07.2006 18:14 5.400 aseinactive.dat
19.07.2006 17:56 692 eRLog.ini
28.06.2006 09:57 424.718 {05850328-BCC6-4835-AAD5-2712E435540D}.exe
09.06.2006 14:55 30 brss01a.ini
09.06.2006 14:55 184 brsvc01a.bsi
09.06.2006 14:54 50 BRIDF04A.dat
31.05.2006 10:19 425.020 kilacln.exe
20.05.2006 20:32 602.632 filesafer23.exe

Datenträger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

Datenträger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

19.08.2006 12:23 403 wiadebug.log
19.08.2006 11:50 0 0.log
19.08.2006 11:50 4.230 ModemLog_Agere Systems AC'97 Modem.txt
19.08.2006 11:50 4.740 ModemLog_Novatel Wireless UMTS Modem Primary Port.txt
19.08.2006 11:49 2.048 bootstat.dat
18.08.2006 18:14 32.570 SchedLgU.Txt
18.08.2006 18:14 1.119.865 WindowsUpdate.log
18.08.2006 18:14 50 wiaservc.log
18.08.2006 15:45 763.246 setupapi.log
18.08.2006 15:43 2.775 mozver.dat
02.08.2006 15:26 400 ODBC.INI
02.08.2006 08:15 2.209 OEWABLog.txt
02.08.2006 08:15 62.698 wmsetup.log
30.07.2006 12:48 671.424 ntbtlog.txt
23.07.2006 10:22 223.847 setupact.log
28.06.2006 09:57 4.395 rdt.ini
20.06.2006 12:23 79 BRPP2KA.INI
20.06.2006 12:23 425 brwmark.ini
09.06.2006 14:54 234 Brpfx04a.ini
09.06.2006 14:54 92 brpcfx.ini
09.06.2006 14:11 284 nsw.log
06.05.2006 14:28 11.334 ModemLog_Motorola USB Modem #2.txt

Datenträger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

19.08.2006 12:54 0 sys.txt
19.08.2006 12:54 6.607 system_1.txt
19.08.2006 12:53 6.607 system.txt
19.08.2006 12:53 124 systemtemp_1.txt
19.08.2006 12:52 124 systemtemp.txt
19.08.2006 12:52 100.418 system32_1.txt
19.08.2006 12:50 100.418 system32.txt
19.08.2006 12:02 6.411 ComboFix.txt
19.08.2006 11:49 468.242.432 hiberfil.sys
19.08.2006 11:49 704.643.072 pagefile.sys
19.08.2006 11:46 296.182 combofix.exe
09.08.2005 22:39 0 inst.exe
08.04.2005 19:56 211 boot.ini


zu Punkt 4.

f-secure sagt Folgendes:
08/19/06 13:22:11 [Info]: BlackLight Engine 1.0.46 initialized
08/19/06 13:22:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/19/06 13:22:12 [Note]: 7019 4
08/19/06 13:22:12 [Note]: 7005 0
08/19/06 13:22:12 [Note]: 7006 0
08/19/06 13:22:13 [Note]: 7011 2496
08/19/06 13:22:13 [Note]: 7026 0
08/19/06 13:22:13 [Note]: 7026 0
08/19/06 13:22:23 [Note]: FSRAW library version 1.7.1019
08/19/06 13:22:41 [Note]: 7007 0


zu 5.
Hallo Sabina,
fixwareout kann ich im Moment leider nicht installieren, ich habe Kaspersky aktiv.
Beim Anklicken vom Setupprogramm bekomme ich die Warnung
"Proaktiver Schutz
Die versteckte Installation einer Anwendung im System wird ausgeführt."
Unter Details steht ... weist auf einen Trojaner hin.
Was soll ich tun?? Kaspersky abschalten?

#2 ja, sehr russisch, oder besser, eure Internetverbindung wird in die Ukraine weitergeleitet...........

1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4..
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> log hier posten

5.
abarbeiten + das log posten
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,tut mir leid, ich komme nicht weiter.
Ich habe nun Punkt 1-4 (s.o.) auch mit deaktivierter Systemwiederherstellung
ausgeführt... und die Logs gespeichert (hier oben aber noch nicht dargestellt).

Punkt 5 kann ich dennoch nicht ausführen, da sich der Trojaner im Hintergrund
weiter installieren möchte (so sagt Kaspersky).
Was soll ich tun? Kaspersky abschalten?

SusiRatlos

#4 SusiSorglos

Information killandclean
http://virus-protect.org/artikel/spyware/killandclean.html
http://virus-protect.org/artikel/spyware/killandclean_remove.html

--------------------------------------------------------------------

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\KillAndClean" >>files.txt
notepad files.txt

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Zitat

registry keys to delete:

HKEY_CURRENT_USER\Software\KillAndClean
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}

Files to delete:

C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url
C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url
C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url
C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall
C:\Programme\KillAndClean\KillAndClean.exe
C:\Programme\KillAndClean\wover.dat
C:\WINDOWS\system32\{05850328-BCC6-4835-AAD5-2712E435540D}.exe
C:\WINDOWS\system32\BRIDF04A.dat
C:\WINDOWS\system32\kilacln.exe
C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\rdt.ini
C:\inst.exe
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\kc.tmp
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\wo.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
poste das log vom avenger, was erscheint

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: localhost 127.0.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA698B4-02FE-4E5D-B102-0DE87B787246}: NameServer = 85.255.116.68,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9F6DD0-71AF-4771-A242-BC98BB4A740D}: NameServer = 85.255.116.68,85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{3AA698B4-02FE-4E5D-B102-0DE87B787246}: NameServer = 85.255.116.68,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.100

5.
Zugangsdaten des Providers hergestellen . Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. -> anhaken
85.255.116.68 85.255.112.100 - muss raus !!!

6.
abarbeiten + das log posten (lass den kaspersky diese Fixwareout.exe akzeptieren !!!
http://virus-protect.org/artikel/tools/fixwareout.html

7.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

8.
poste auch das neue Log vom HijackThis


«
__________
MfG Sabina

rund um die PC-Sicherheit

#5 zu 1. KillandClean

files.txt ist leer, da der Ordner C:\Programme\KillandClean leer ist.
(auch versteckte Dateien hatte ich sichtbar gemacht)

zu 2. u. 3. Avenger + post

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\KillAndClean


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ialahmuu

*******************

Script file located at: \??\C:\WINDOWS\wubqcqsv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url deleted successfully.


Error: C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy is a folder, not a file!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy
Status: 0xc00000ba

File C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url deleted successfully.


Error: C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating is a folder, not a file!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating
Status: 0xc00000ba

File C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url deleted successfully.


Error: C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall is a folder, not a file!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall
Status: 0xc00000ba



File C:\Programme\KillAndClean\KillAndClean.exe not found!
Deletion of file C:\Programme\KillAndClean\KillAndClean.exe failed!

Could not process line:
C:\Programme\KillAndClean\KillAndClean.exe
Status: 0xc0000034



File C:\Programme\KillAndClean\wover.dat not found!
Deletion of file C:\Programme\KillAndClean\wover.dat failed!

Could not process line:
C:\Programme\KillAndClean\wover.dat
Status: 0xc0000034

File C:\WINDOWS\system32\{05850328-BCC6-4835-AAD5-2712E435540D}.exe deleted successfully.
File C:\WINDOWS\system32\BRIDF04A.dat deleted successfully.
File C:\WINDOWS\system32\kilacln.exe deleted successfully.
File C:\WINDOWS\system32\filesafer23.exe deleted successfully.
File C:\WINDOWS\rdt.ini deleted successfully.
File C:\inst.exe deleted successfully.


File C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\kc.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\kc.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\kc.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\wo.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\wo.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\wo.tmp
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Die dann leeren Ordner
"C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall" usw.
habe ich von Hand gelöscht.


Punkt 4 und 5 ausgeführt.

zu Punkt 6

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7C2A7ECE54F7-A7FB-16B4-8CD7-B85BA011{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nlcalik
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D8E2EFB05CE-7058-D334-E890-7B2A31BA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E8A15E54DBA3-5238-B8A4-E0D7-EAF5A3A3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E9713F974AE6-197A-7534-B7C0-1769AC4C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4866B301973-D458-4C14-890F-818AFFC5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}91627102D409-293B-E954-A59B-AC790C63{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}23FB658B5E4C-97D9-9B34-0455-DDECF6CC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D045534E2172-5DAA-5384-6CCB-82305850{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zjemd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


Punkt 7 ausgeführt.

zu 8. neue HJT-Log

Logfile of HijackThis v1.99.1
Scan saved at 16:07:10, on 20.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.viruslist.com/de/search?VN=Trojan-Downloader.HTML.Agent.aq&referer=kis
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122994602968
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Dieses Log-File sieht doch schon viel besser aus ).
Wann kann ich die Systemwiederherstellung aktivieren?

SusiGlücklich

#6 es wir noch ne Weile dauern, und du wirst noch verschiedene scans machen muessen, aber erst mal arbeite ab, was ich geschrieben hatte
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,
ich habe dabei so viel gelernt...
glaube bitte nicht, ich hätte alles nur blind abgearbeitet!
Das war wirklich interessant, wenn auch unnötig, wäre nicht MisterX gewesen.

Naja, das Wetter war eh nicht so dolle.

Was muß ich noch tun??
Deine SusiGlücklich

zu Punkt 1
Ich fand in den Favoriten nur noch Spyware Uninstall.
Den Rest hat MisterX vielleicht aus Furcht vor Entdeckung schon selbst gelöscht . Also "Kinderstube" scheint er zu haben.

zu Punkt 2 F-Secure Online-Scan
Report hier

Scanning Report
Monday, August 21, 2006 08:31:45 - 08:50:53

Computer name: ACER-9C5CBFE9EE
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\
Result: 0 malware found
Statistics
Scanned:

* Files: 15666
* System: 4322
* Not scanned: 6

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM

Options
Scanning engines:

* F-Secure AVP: 6.0.171, 2006-08-18
* F-Secure Libra: 2.4.1, 2006-08-18
* F-Secure Orion: 1.2.37, 2006-08-18
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Pegasus: 1.19.0, 2006-07-18
* F-Secure Draco: 1.0.35, 0259-24-212

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics

Copyright © 1998-2006 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.


zu Punkt 3 Superantispyware (das Teil ist wirklich gut!)

Scan im Normalmodus

SUPERAntiSpyware Scan Log
Generated 08/21/2006 at 09:48 AM

Core Rules Database Version : 3057
Trace Rules Database Version: 1103

Memory threats detected : 0
Registry threats detected : 2
File threats detected : 1

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Admin\Cookies\admin@msnportal.112.2o7[1].txt

Trojan.Media-Codec
HKCR\Media-Codec.Chl
HKCR\Media-Codec.Chl\CLSID


Scan im abgesicherten Modus

SUPERAntiSpyware Scan Log
Generated 08/21/2006 at 10:24 AM

Core Rules Database Version : 3057
Trace Rules Database Version: 1103

Memory threats detected : 0
Registry threats detected : 3
File threats detected : 1

Parasite.WareOut
HKLM\Software\Classes\CLSID\{8FF38E49-C219-E969-1E93-2F90A9D07903}
HKCR\CLSID\{8FF38E49-C219-E969-1E93-2F90A9D07903}
HKCR\CLSID\{8FF38E49-C219-E969-1E93-2F90A9D07903}\InprocServer32
teqq32.dll


Die Funde habe ich in der Quarantäne gelöscht.

#8 SusiSorglos

1.
Gehe im IE in die Favoriten und suche/lösche dort

C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating

2.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

3..
scanne und poste den report
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Erfüllte Aufgaben stehen einen Post höher.

Sag mir bitte, wie es weitergeht.
Fast bin ich schon gespannt darauf.
MfG Susi

#10 wieso: "wie es weitergeht " ??
es steht doch geschrieben, ich will den scanreport von F-Secure Online sehen + den report von superantispyware
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina...
schau mal bitte einen Post höher, ich habe den vorherigen Text editiert.
Danke Susi.

#12 sorry , nicht getoppt
nun, buegel noch mal mit Panda und mit ewido drueber, poste die scanreports
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 So,
onlinescan.html habe ich besucht.

Panda-Online-Scan habe ich versucht.
Ich habe es 2mal gestartet.
Irgendwie hat das Pand-Online-Scan dann im Kasperky-Verzeichnis
mit meinem Kaspersky Internetsecurity 6.0 gekämpft.
Ist Panda mit Kaspersky kompatibel?
Soweit es ging, hier der Scan.

ActivScan Panda

Incident Status Location

Adware:adware/swimsuitnetwork Not disinfected c:\windows\system32\MYDLL.dll

habe ich dann abbrechen müssen.

Ewido
__________________________________________________
ewido anti-spyware online scanner
h**p://www.ewido.net
__________________________________________________


Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Admin\Cookies\admin@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\h\Cookies\h@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.17:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.22:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.27:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.28:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.29:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.30:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.31:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.32:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: :mozilla.33:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.36:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.37:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.38:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\xo7dn22a.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.17:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.18:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.19:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.20:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.21:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.22:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.23:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.24:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.27:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: :mozilla.29:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\396esmi9.default\cookies.txt
Risk: Medium

Die Malware habe ich beseitigt. Der 2.Scan mit Ewido war danach sauber.

So, langsam geht mir die Puste aus.
Trinken wir erstmal nen Kaffee?

XMan darf ihn uns servieren und diverse Entspannungshilfen geben.

Wenn ich den erwische, mache ich meine geheimsten Vorstellungen wahr!!
SusiKeucht

#14 es ist alles wieder in Ordnung, du kannst also mit deinen Mitbewohnern Frieden schliessen und ihnene einen kleinen Kurs geben:
a) bestimmte Seiten meiden
b) nicht auf alles klicken, was blinkt und verspricht ein Virenscanner zu sein, denn meist ist es der Trojaner selbst, der sich installiert.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Sabina,
da sagst du mir aber was Erfreuliches....
ich hätte fast schon aufgegeben...
nun, wer weiß, wie lange das vorhält.

Nur gut, dass ich den Laptop wegschließen kann, was ich nun auch tun werde.

Eine Frage aber habe ich noch.
Woher nimmst du die ganze Zeit für diese perfekten Antworten.
Mal angenommen, du würdest statt dessen Strümpfe stricken, oder
Bücher schreiben... wäre das nicht fesselnder, als den Schwachsinn, den böse Buben hier ins Internet stellen, um Naivlinge mit einem coolen Screenschoner zu foppen, wieder gerade zu richten.
Wirklich, ich bin Dir echt dankbar, dass es so fix geklappt hat.
Hut ab vor deinem Können, aber ich persönlich mag lieber mit meinen zukünftigen Kindern spielen, obwohl ich sie im Moment noch gar nicht habe ;o)

Vielen Dank Sabina.
Ich werde noch meinen Kindern von dir erzählen.
:o)
SusiFreutsich