Ordner !Submit und andere Auffälligkeiten (winvbie.dll)

#1 Hallo zusammen,

habe da einige komische Sachen in meinem Hijacklogfile, kann sich das mal jemand anschauen pls?

Außerdem habe ich einen Ordner namens !Submit, der sich nicht löschen lässt mit der Begründung: "Dieser Ordner ist nicht leer" in dem Ordner befindet sich jedoch keine sichtbare Datei...

Wäre super, vielen Dank, hier das Hijack File, habe die markiert, bei denen ich nicht sicher bin:

Logfile of HijackThis v1.99.1
Scan saved at 20:11:27, on 11.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Proggis1\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: winvbie.dll - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 200\routcnf.exe /capiactive
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - C:\WINDOWS\system\sessmgr.exe (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\FileSubmit" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06-05-16 11:58 24,576 dwusplay.dll
06-05-16 11:58 196,608 dwusplay.exe
06-06-25 12:50 1,793 erma.inf
06-07-30 13:26 218,816 ExentCtl.ocx
06-05-16 11:58 484,272 isusweb.dll
06-06-22 11:41 5,032 swflash.inf
6 Datei(en) 931,097 Bytes
0 Verzeichnis(se), 7,543,205,888 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\Programme

06-07-21 15:03 <DIR> Anti-Leech
06-07-24 00:20 <DIR> DAEMON Tools
06-07-21 15:03 <DIR> NetPumper

Verzeichnis von C:\WINDOWS\system32

06-09-12 19:39 51,733 plugin1.dat
06-09-12 19:39 2,126 wpa.dbl
06-09-12 00:29 3,745 SysPr.prx
06-07-26 03:03 127,078 javaws.exe
06-07-26 01:26 53,346 javaw.exe
06-07-26 01:25 49,248 java.exe
06-07-24 11:14 107,808 FNTCACHE.DAT
06-07-20 11:46 873,524 PerfStringBackup.INI
06-07-03 18:00 43,520 CmdLineExt03.dll
06-06-02 11:04 57,384 avsda.dll
06-05-31 07:24 230,168 xactengine2_2.dll
06-05-26 17:56 50,688 msiev32.dll
06-05-26 17:56 18,944 winvbie.dll
06-05-16 22:23 339,968 pxwave.dll
06-05-16 22:23 28,672 vxblock.dll
06-05-16 22:23 176,128 pxmas.dll
06-05-16 22:23 450,560 pxdrv.dll
06-05-16 22:23 1,257,472 pxsfs.dll
06-05-16 22:23 430,080 px.dll
06-05-16 13:24 34,308 BASSMOD.dll
06-05-16 11:58 73,728 ISUSPM.cpl
06-05-04 17:35 65,536 QuickTimeVR.qtx
06-05-04 17:35 49,152 QuickTime.qts

Verzeichnis von C:\WINDOWS

06-09-13 14:45 341,234 WindowsUpdate.log
06-09-13 10:48 0 0.log
06-09-13 10:48 157 wiadebug.log
06-09-13 10:48 50 wiaservc.log
06-09-13 10:48 2,048 bootstat.dat
06-09-13 02:35 32,618 SchedLgU.Txt
06-09-13 02:29 192 winamp.ini
06-09-12 19:40 445,801 setupapi.log
06-09-12 18:43 116 NeroDigital.ini
06-09-12 15:04 54,156 QTFont.qfn
06-09-12 12:21 61 cnerolf.dat
06-09-12 03:17 696 win.ini
06-09-11 20:02 188,193 DirectX.log
06-09-07 09:31 326 GDIINST.INI
06-09-06 10:33 754 WORDPAD.INI
06-09-06 09:41 3,914 ModemLog_Smart Link 56K Voice Modem.txt
06-09-04 10:40 1,409 QTFont.for
06-09-04 10:39 484 GEARInstall.log
06-08-01 18:40 315 musicmaker.INI
06-07-30 13:30 3,303 GPlrLanc.dat
06-07-25 16:24 6,536 KB893803v2.log
06-07-25 16:24 1,949 iis6.log
06-07-25 16:24 4,363 comsetup.log
06-07-25 16:24 1,374 imsins.log
06-07-25 16:24 14,609 tsoc.log
06-07-25 16:24 1,696 ocmsn.log
06-07-25 16:24 2,841 ntdtcsetup.log
06-07-25 16:21 776 msgsocm.log
06-07-25 16:21 9,223 ocgen.log
06-07-25 16:21 14,409 FaxSetup.log
06-07-24 17:04 152,036 setupact.log
06-07-24 10:57 231 system.ini
06-07-24 02:07 8,192 d3dx.dat
06-07-22 17:12 242 wmsetup10.log
06-07-22 17:11 316,640 WMSysPr9.prx
06-07-21 13:58 348 nsw.log
06-07-20 15:53 487 Capictrl.INI
06-07-20 15:41 59 WINPHONE.INI
06-07-20 12:04 1,454 COM+.log
06-07-18 14:20 53 DVBData.INI
06-07-18 12:59 656 avmadd32.log
06-07-18 12:59 2,090 avmsetup.log
06-07-18 12:59 0 accessdll.log
06-06-12 12:14 209 ODBCINST.INI
06-06-08 14:00 1,146 1Password-Pro_Uninstall.ins
06-05-23 08:52 93 ms_wvd.dll
06-05-19 00:20 24 AM_D8.PRF

Verzeichnis von C:\

06-09-13 14:47 0 sys.txt
06-09-13 14:47 5,728 system.txt
06-09-13 14:47 138 systemtemp.txt
06-09-13 14:46 92,994 system32.txt
06-09-13 14:46 171 ComboFix.txt
06-09-13 14:23 171 ComboFix2.txt
06-09-13 14:22 171 ComboFix3.txt
06-09-13 10:48 1,341,706,240 hiberfil.sys
06-09-13 10:48 1,048,576,000 pagefile.sys
06-09-12 14:48 11 SysPr.prx
06-08-01 07:01 13,030 PDOXUSRS.NET
06-07-30 15:18 0 error.txt
06-07-21 14:01 355 TO_InstallLog.txt
06-07-21 13:38 2,435 TDSLCheck.txt
06-07-18 13:58 2,321 skysetup.log
06-07-18 13:55 9,266 autostart.log
06-07-18 10:36 184,647 AnalysisLog.sr0
06-07-12 13:21 381 overall_network.csv
06-06-01 18:40 38,434 dxdiag.txt
06-05-19 13:44 499,610 1.prn
06-04-07 22:23 211 boot.ini
06-04-05 06:21 211 BOOT.BAK
06-03-02 13:55 595 ps_system_Zeit.txt


Der Ordner !Submit, den ich nicht löschen kann, befindet sich auf C:\!Submit

Vielen Dank schonmal

#4 erstelle eine neu.bat und poste den text

Zitat

cd\
dir "C:\!Submit" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

05-07-21 09:27 <DIR> Adobe
04-11-25 06:31 <DIR> CyberLink
05-06-03 21:29 <DIR> Macrovision
05-05-24 22:06 <DIR> nView_Profiles
05-06-03 21:25 <DIR> Quark
05-05-20 22:58 <DIR> QuickTime
04-11-15 14:40 <DIR> SBSI
05-05-28 09:07 <DIR> SBT
05-05-21 20:42 <DIR> Symantec
05-05-28 09:30 <DIR> T-DSL SpeedManager
05-05-23 19:53 <DIR> T-Online
05-05-23 19:52 <DIR> T-Online_ZusatzSoftware
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 7,530,299,392 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\Programme\Gemeinsame Dateien

06-09-12 02:56 <DIR> .
06-09-12 02:56 <DIR> ..
06-06-28 14:17 <DIR> Adobe
04-11-25 06:37 <DIR> Ahead
06-02-02 15:48 <DIR> Avery
04-11-25 06:28 <DIR> Borland Shared
04-11-25 06:28 <DIR> Corel
05-05-28 09:03 <DIR> Designer
05-12-03 19:45 <DIR> Dienste
05-12-25 16:39 <DIR> Hewlett-Packard
05-12-26 17:36 <DIR> HP
06-08-01 06:10 <DIR> InstallShield
06-07-23 21:36 <DIR> InterVideo
06-07-18 13:54 <DIR> IviSDK
05-09-10 14:05 <DIR> Java
05-09-21 14:18 <DIR> MAGIX Shared
06-04-18 12:38 <DIR> Microsoft Shared
04-11-15 14:30 <DIR> MSSoap
06-03-28 17:40 <DIR> Nero
05-09-17 23:28 <DIR> Nullsoft
06-03-28 21:34 <DIR> ODBC
05-10-18 13:43 <DIR> Real
06-03-27 15:08 <DIR> Software FX Shared
06-09-12 02:57 <DIR> Softwin
04-11-15 14:25 <DIR> SpeechEngines
06-03-26 11:13 <DIR> Synacast
05-05-28 09:07 <DIR> System
05-05-20 22:57 <DIR> Ulead Systems
06-09-06 10:15 <DIR> Wise Installation Wizard
05-10-18 13:43 <DIR> xing shared
0 Datei(en) 0 Bytes
30 Verzeichnis(se), 7,530,299,392 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\Windows\tasks

#6 sorry, ich habe einen Fehler gemacht, also noch mal:

Zitat

cd\
dir "C:\!Submit" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 kein problem ;-)


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

05-07-21 09:27 <DIR> Adobe
04-11-25 06:31 <DIR> CyberLink
05-06-03 21:29 <DIR> Macrovision
05-05-24 22:06 <DIR> nView_Profiles
05-06-03 21:25 <DIR> Quark
05-05-20 22:58 <DIR> QuickTime
04-11-15 14:40 <DIR> SBSI
05-05-28 09:07 <DIR> SBT
05-05-21 20:42 <DIR> Symantec
05-05-28 09:30 <DIR> T-DSL SpeedManager
05-05-23 19:53 <DIR> T-Online
05-05-23 19:52 <DIR> T-Online_ZusatzSoftware
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 7,530,299,392 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

Verzeichnis von C:\Programme\Gemeinsame Dateien

06-09-12 02:56 <DIR> .
06-09-12 02:56 <DIR> ..
06-06-28 14:17 <DIR> Adobe
04-11-25 06:37 <DIR> Ahead
06-02-02 15:48 <DIR> Avery
04-11-25 06:28 <DIR> Borland Shared
04-11-25 06:28 <DIR> Corel
05-05-28 09:03 <DIR> Designer
05-12-03 19:45 <DIR> Dienste
05-12-25 16:39 <DIR> Hewlett-Packard
05-12-26 17:36 <DIR> HP
06-08-01 06:10 <DIR> InstallShield
06-07-23 21:36 <DIR> InterVideo
06-07-18 13:54 <DIR> IviSDK
05-09-10 14:05 <DIR> Java
05-09-21 14:18 <DIR> MAGIX Shared
06-04-18 12:38 <DIR> Microsoft Shared
04-11-15 14:30 <DIR> MSSoap
06-03-28 17:40 <DIR> Nero
05-09-17 23:28 <DIR> Nullsoft
06-03-28 21:34 <DIR> ODBC
05-10-18 13:43 <DIR> Real
06-03-27 15:08 <DIR> Software FX Shared
06-09-12 02:57 <DIR> Softwin
04-11-15 14:25 <DIR> SpeechEngines
06-03-26 11:13 <DIR> Synacast
05-05-28 09:07 <DIR> System
05-05-20 22:57 <DIR> Ulead Systems
06-09-06 10:15 <DIR> Wise Installation Wizard
05-10-18 13:43 <DIR> xing shared
0 Datei(en) 0 Bytes
30 Verzeichnis(se), 7,530,299,392 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D2E4-D346

#8

Zitat

cd\
dir "C:\!Submit" >>files.txt
notepad files.txt

auch wenn immer alles wiederholt wird... findest du folgendes? - C:\!Submit
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Den Ordner sehe ich unter C:\ im explorer, ja... er ist leer, auch bei der aktivierten Option "Alle Dateien anzeigen"

Beim Versuch zu löschen kommt jedoch die Meldung: "Kann nicht gelöscht werden, dieser Ordner ist nicht leer"

#10 erstelle eine dat.bat , poste ALLES was drin steht

Zitat

cd\
dir "C:\!Submit" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ha, sorry, hatte nicht runtergescrollt... peinlich^^


Verzeichnis von C:\!Submit

06-09-12 14:51 <DIR> .
06-09-12 14:51 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 7,446,769,664 Bytes frei

#12 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\winvbie.dll
C:\WINDOWS\system32\msiev32.dll

Folders to delete:
C:\!Submit
C:\Programme\Anti-Leech
C:\Programme\DAEMON Tools
C:\Programme\NetPumper

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger, was nach neustart erscheint

--------------------------------------------------------------------------
++
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{C4F147D7-BF25-488E-A12B-EFD43E7029BF}
RDSessMgr
sessmgr.exe


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hmm, regsearch läuft leider nicht richtig bei mir scheinbar, auch nach ner halben ewigkeit warten, passiert nichts nach ausführung... Mem Auslastung 99%, aber nix passiert...

#14 poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit