Ich werde Pipas.A nicht los!

#1 Hallo allerseits,

das beliebte Pipas.A Problem hat diesmal den PC meines Vaters erwischt, der leider immer noch den IE verwendet. Jetzt hat sich Pipas.A eingenistet und manipuliert die Suchergebnisse von Google. Ich bitte um Hilfe, damit ich den Plagegeist wieder loswerde. Hier sind die gewünschten Logs:

-----------------------

1. HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 14:20:35, on 09.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AIM\aim.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.la-pagina.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hp64B4.tmp (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Oreb] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\misr.exe
O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\RarSFX1\fast.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase3401.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122969780453
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37390.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3CE11F0-258B-4189-AE2B-DB85C11460AF}: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

---------------------

2. Clean Up: Wie angegeben erledigt.

---------------------

3. ComboFix:

Daniel - Sa 09.09.2006 14:41:14,18
ComboFix 06.09.07 - Running from: E:\Admin

Microsoft Windows 2000 [Version 5.00.2195]

((((((((((((((((((((((((((((((( Files Created from 2006-08-09 to 2006-09-09 ))))))))))))))))))))))))))))))))))


2006-08-28 20:09 774,144 --a------ C:\WINNT\system32\vsfilter.dll
2006-08-28 20:09 77,824 --a------ C:\WINNT\system32\vorbisfile.dll
2006-08-28 20:09 75,264 --a------ C:\WINNT\system32\MACDec.dll
2006-08-28 20:09 679,936 --a------ C:\WINNT\system32\xvidcore.dll
2006-08-28 20:09 61,440 --a------ C:\WINNT\system32\ogg.dll
2006-08-28 20:09 446,464 --a------ C:\WINNT\system32\vp31vfw.dll
2006-08-28 20:09 438,272 --a------ C:\WINNT\system32\vp6vfw.dll
2006-08-28 20:09 421,888 --a------ C:\WINNT\system32\OpenQuicktimeLib.dll
2006-08-28 20:09 39,936 --a------ C:\WINNT\system32\huffyuv.dll
2006-08-28 20:09 368,640 --a------ C:\WINNT\system32\vobsub.dll
2006-08-28 20:09 286,720 --a------ C:\WINNT\system32\3ivxVfWCodec.dll
2006-08-28 20:09 245,408 --a------ C:\WINNT\system32\unicows.dll
2006-08-28 20:09 237,568 --a------ C:\WINNT\system32\OggDS.dll
2006-08-28 20:09 19,968 --a------ C:\WINNT\system32\cpuinf32.dll
2006-08-28 20:09 157,696 --a------ C:\WINNT\system32\unrar.dll
2006-08-28 20:09 155,648 --a------ C:\WINNT\system32\xvidvfw.dll
2006-08-28 20:09 1,415,680 --a------ C:\WINNT\system32\WMV9VCM.dll
2006-08-28 20:09 1,163,264 --a------ C:\WINNT\system32\vorbis.dll
2006-08-28 20:09 1,040,384 --a------ C:\WINNT\system32\vorbisenc.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-09 14:39 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-09 14:35 -------- d-a------ C:\Programme\Sophos SWEEP for NT
2006-09-09 14:17 -------- d-------- C:\Programme\CleanUp!
2006-09-09 11:33 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Azureus
2006-09-08 20:14 -------- d-------- C:\Programme\Lavasoft
2006-09-08 20:14 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Lavasoft
2006-09-08 15:21 -------- d-------- C:\Programme\Google
2006-09-07 20:43 -------- d-------- C:\Programme\HQ Codec
2006-08-28 20:12 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Media Player Classic
2006-08-28 20:09 -------- d-------- C:\Programme\K-Lite Codec Pack
2006-08-28 18:36 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\vlc
2006-08-28 18:33 -------- d-------- C:\Programme\VideoLAN
2006-08-27 09:49 -------- d-------- C:\Programme\ICQLite
2006-08-23 13:24 -------- d-------- C:\Programme\Azureus
2006-08-23 09:47 -------- d-------- C:\Programme\Jap
2006-08-22 10:59 -------- d-------- C:\Programme\ElsterFormular2005
2006-08-05 21:44 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-07-24 18:18 847632 --a------ C:\WINNT\system32\mmcndmgr.dll
2006-07-24 18:14 617232 --a------ C:\WINNT\system32\mmc.exe
2006-07-21 17:08 72704 --a------ C:\WINNT\system32\hlink.dll
2006-07-18 23:38 -------- d-------- C:\Programme\SPSS
2006-07-18 00:26 -------- d-------- C:\Programme\eMule
2006-07-12 23:48 -------- d-------- C:\Programme\Winamp
2006-07-11 00:12 -------- d-------- C:\Programme\eMule.de
2006-07-06 13:45 96528 --a------ C:\WINNT\system32\dnsrslvr.dll
2006-06-21 08:52 54544 --a------ C:\WINNT\system32\mpr.dll
2006-06-16 20:17 7242 --a------ C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SmarThruOptions.xml
2006-06-16 10:35 1693120 --a------ C:\WINNT\system32\NTOSKRNL.EXE
2006-06-16 10:34 1715776 --a------ C:\WINNT\system32\NTKRNLPA.EXE


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ViewMgr"="C:\\Programme\\Viewpoint\\Viewpoint Manager\\ViewMgr.exe"
"Matrox Powerdesk"="C:\\WINNT\\system32\\PDesk\\PDesk.exe /Autolaunch"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"WHITNEY_S2P"="C:\\Programme\\Samsung\\Samsung SCX-4x21 Series\\PSU\\Scan2pc.exe"
"WHITNEY_S2P"="C:\\Programme\\Samsung\\Samsung SCX-4x21 Series\\PSU\\Scan2pc.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"AIM"="C:\\Programme\\AIM\\aim.exe -cnetwait.odl"
"Oreb"="C:\\Dokumente und Einstellungen\\Daniel \\Anwendungsdaten\\misr.exe"
"BD"="\"C:\\DOKUME~1\\DANIEL~1\\LOKALE~1\\Temp\\RarSFX1\\fast.exe\""
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"wininet.dll"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Completion time: Sat 2006-09-09 14:43:54.09
ComboFix.txt
ComboFix2.txt

----------------------

4. Datafind.bat:

Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: 5466-C717

Verzeichnis von C:\WINNT\system32

09.09.2006 14:37 334 vsconfig.xml
09.09.2006 14:00 16.384 Perflib_Perfdata_34c.dat
07.09.2006 21:15 2.608 d3d9caps.dat
09.08.2006 21:03 8.325.544 MRT.exe
04.08.2006 20:06 463.360 URLMON.DLL
24.07.2006 18:18 847.632 mmcndmgr.dll
24.07.2006 18:14 617.232 mmc.exe
21.07.2006 17:08 72.704 hlink.dll
14.07.2006 15:54 309.520 NETAPI32.DLL
14.07.2006 07:02 519.168 hhctrl.ocx
13.07.2006 09:09 2.387.216 SHELL32.DLL
06.07.2006 13:45 7.440 rasadhlp.dll
06.07.2006 13:45 96.528 dnsrslvr.dll
06.07.2006 13:45 137.488 dnsapi.dll
30.06.2006 10:51 2.703.872 MSHTML.DLL
23.06.2006 13:27 582.144 WININET.DLL


Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: 5466-C717

Verzeichnis von C:\WINNT

09.09.2006 14:35 1.268.399 WindowsUpdate.log
09.09.2006 14:32 643.680 ShellIconCache
09.09.2006 13:18 229.114 ntbtlog.txt
09.09.2006 13:16 32.594 SchedLgU.Txt
07.09.2006 16:42 54.156 QTFont.qfn
06.09.2006 11:33 116 NeroDigital.ini
03.09.2006 15:18 223.250 wmsetup.log
31.08.2006 19:03 18.941 mozver.dat
25.08.2006 08:11 10.839 KB918899-IE6SP1-20060725.123917.log
25.08.2006 08:11 76.079 updspapi.log
22.08.2006 11:19 3.201 tm.ini
22.08.2006 10:57 124 tdf.dii
14.08.2006 15:23 1.409 QTFont.for
11.08.2006 22:05 732.539 iis5.log
11.08.2006 22:05 311.892 comsetup.log
11.08.2006 22:05 1.391 imsins.log
11.08.2006 22:05 23.061 KB922616.log
11.08.2006 22:05 291.962 ocgen.log
11.08.2006 22:05 22.585 ockodak.log
11.08.2006 22:04 1.410 imsins.BAK
11.08.2006 22:04 23.381 KB921398.log
11.08.2006 22:04 23.108 KB920958.log
11.08.2006 22:04 19.418 KB920683.log
11.08.2006 22:03 17.492 KB920670.log
11.08.2006 22:03 17.763 KB917422.log
11.08.2006 22:03 8.082 KB917008.log
11.08.2006 22:03 283 setup.rpt
11.08.2006 22:03 957 setup.inf
11.08.2006 22:02 13.584 KB921883.log
30.07.2006 13:44 12.438 KB917537.log
11.07.2006 23:02 15.778 KB917159.log
11.07.2006 23:02 16.197 KB914388.log
24.06.2006 16:17 3.807 spupdsvc.log
24.06.2006 16:12 18.005 KB917953.log
24.06.2006 16:12 9.208 KB916281-IE6SP1-20060526.162249.log
24.06.2006 16:11 15.488 KB917736.log
24.06.2006 16:11 14.883 KB911280.log
24.06.2006 16:11 14.600 KB914389.log
24.06.2006 16:10 4.769 KB917734.log
16.06.2006 14:23 416.608 setupapi.log
16.06.2006 14:23 162 setup.log
16.06.2006 14:22 111 Readiris.ini
16.06.2006 14:21 90 scnsetup.log


Datentr„ger in Laufwerk C: ist Win2000
Datentr„gernummer: 5466-C717

Verzeichnis von C:\

09.09.2006 15:02 0 sys.txt
09.09.2006 15:00 8.535 system.txt
09.09.2006 15:00 292 systemtemp.txt
09.09.2006 15:00 98.466 system32.txt
09.09.2006 14:43 8.193 ComboFix.txt
09.09.2006 14:34 805.306.368 pagefile.sys
09.09.2006 14:25 8.178 ComboFix2.txt

----------------------

5. Manipulation der Ergebnisse des Google-Toolbars und Google selbst.
Spybot findet folgenden Key, der aber nicht dauerhaft entfernt werden kann.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins


Vielen Dank schon einmal im Voraus!

#2 Nail75

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\misr.exe

C:\WINNT\system32\huffyuv.dll


poste die Reporte

--------------------------------------------------------------------
0.
poste das log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

1.
scanne und poste den scanreport von option 1 und 2
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
poste folgendes log
http://virus-protect.org/artikel/tools/fixwareout.html

---------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: 69.64.35.177 auto.search.msn.com

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINNT\system32\hp64B4.tmp (file missing)

O4 - HKCU\..\Run: [Oreb] C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\misr.exe

O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\RarSFX1\fast.exe"

O17 - HKLM\System\CCS\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3CE11F0-258B-4189-AE2B-DB85C11460AF}: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CCD5DE1-EA01-490F-9A6C-E53BD7690922}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5

PC neustarten

**
Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken
85.255.113.90 85.255.112.5 muss raus !!!!!!!!

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Misr.exe ist der Überrest eines alten Hijack-Versuches, den ich damals selbst entfernt hatte. Die Datei existiert nicht mehr und das Problem auch nicht Bezüglich der anderen Datei:

Complete scanning result of "huffyuv.dll", received in VirusTotal at 09.09.2006, 17:04:33 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.16 09.09.2006 no virus found
Authentium 4.93.8 09.09.2006 no virus found
Avast 4.7.844.0 09.08.2006 no virus found
AVG 386 09.08.2006 no virus found
BitDefender 7.2 09.09.2006 no virus found
CAT-QuickHeal 8.00 09.09.2006 no virus found
ClamAV devel-20060426 09.09.2006 no virus found
DrWeb 4.33 09.09.2006 no virus found
eTrust-InoculateIT 23.72.120 09.08.2006 no virus found
eTrust-Vet 30.3.3070 09.09.2006 no virus found
Ewido 4.0 09.09.2006 no virus found
Fortinet 2.77.0.0 09.09.2006 no virus found
F-Prot 3.16f 09.09.2006 no virus found
F-Prot4 4.2.1.29 09.08.2006 no virus found
Ikarus 0.2.65.0 09.08.2006 no virus found
Kaspersky 4.0.2.24 09.09.2006 no virus found
McAfee 4848 09.08.2006 no virus found
Microsoft 1.1560 09.09.2006 no virus found
NOD32v2 1.1746 09.08.2006 no virus found
Norman 5.90.23 09.08.2006 no virus found
Panda 9.0.0.4 09.09.2006 no virus found
Sophos 4.09.0 09.09.2006 no virus found
Symantec 8.0 09.09.2006 no virus found
TheHacker 5.9.8.208 09.08.2006 no virus found
UNA 1.83 09.08.2006 no virus found
VBA32 3.11.1 09.09.2006 no virus found
VirusBuster 4.3.7:9 09.09.2006 no virus found

Aditional Information
File size: 39936 bytes
MD5: 335a224416ba985eafa71d15c004f702
SHA1: 89973a8885ba7e2c6cf1ca2bef1742a7a1168519


0: Blacklight:

09/09/06 16:40:43 [Info]: BlackLight Engine 1.0.46 initialized
09/09/06 16:40:43 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/09/06 16:40:43 [Note]: 7019 4
09/09/06 16:40:43 [Note]: 7005 0
09/09/06 16:40:58 [Note]: 7006 0
09/09/06 16:40:58 [Note]: 7011 1004
09/09/06 16:40:58 [Note]: 7026 0
09/09/06 16:40:58 [Note]: 7026 0
09/09/06 16:41:11 [Note]: FSRAW library version 1.7.1019
09/09/06 16:44:35 [Info]: Hidden file: c:\WINNT\system32\csjcw.exe
09/09/06 16:44:35 [Note]: 7002 32
09/09/06 16:44:35 [Note]: 7003 1
09/09/06 16:44:35 [Note]: 10002 1
09/09/06 16:44:36 [Info]: Hidden file: c:\WINNT\system32\dmvpo.exe
09/09/06 16:44:36 [Note]: 7002 32
09/09/06 16:44:36 [Note]: 7003 1
09/09/06 16:44:36 [Note]: 10002 1
09/09/06 16:45:47 [Note]: 2000 1006
09/09/06 16:46:27 [Note]: 7007 0

1.:
SmitFraudFix v2.84: Option1:

Scan done at 16:47:12,01, Sa 09.09.2006
Run from C:\Dokumente und Einstellungen\Daniel Nagel\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

C:\WINNT\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Daniel Nagel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DANIEL~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\HQ Codec\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Option2:
SmitFraudFix v2.84

Scan done at 16:54:58,90, Sa 09.09.2006
Run from C:\Dokumente und Einstellungen\Daniel Nagel\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINNT\system32\1024\ Deleted
C:\Programme\HQ Codec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


3.:
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}39178F9111CF-CB49-2E94-EA52-9742F807{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\opvmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap
...

Random Runs removed from HKLM
"dmvpo.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINNT\SYSTEM32\CSJCW.EXE 51.781 2006-09-07
C:\WINNT\SYSTEM32\DMVPO.EXE 62.029 2003-06-19

Other suspects.
Directory of C:\WINNT\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

Rest folgt!

#4 Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (
Dann lass Blacklight den Rechner neu starten.
scan --> next none auf rename ändern

und arbeite alles weitere ab
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Super! Mehr war nicht. Vielen Dank, dass Du mir geholfen hast, den Rechner wieder zu säubern. Inzwischen solltest Du auch schon das kleine Paypal-Dankeschön erhalten haben.
Alles Gute!
Daniel