Home » Spyware & Browser Hijacker Support Forum » Firefox Popups im minutentakt » Themenansicht

Firefox Popups im minutentakt
#0
28.09.2006, 15:19
Nanot
...neu hier

Beiträge: 2
#1 tach zusammen,
seit gestern fliegen mir hier diverse werbepopups um die ohren. ich nehme an, ihr wisst wovon ich rede..ich habe keinen plan. habe schon einiges gescannt, hilft aber nicht.
was mir besonders aufgefallen ist, ist dass eine gewisse command.exe leicht hyperaktiv agiert. habe sogar teilweise den eindruck, dass das ganze an meinem speicher nagt.
bitte um hilfe!!

hier meine log:

Logfile of HijackThis v1.99.1
Scan saved at 15:09:13, on 28.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\YnVua2VyZXI\command.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Browser Mouse\GameMouse.exe
C:\WINDOWS\System32\msnsrv.exe
D:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\nwnmff_e16.exe
C:\dfndrff_e16.exe
C:\kybrdff_e16.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
D:\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\bunkerer\Desktop\hijackthis_199\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\9a8230d00c13b1f8b0f6f910af9d471e\update\update.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\GameMouse.exe
O4 - HKLM\..\Run: [Win32] msnsrv.exe
O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [mgg022c7] RUNDLL32.EXE w0140e7e.dll,n 005022c20000000a0140e7e
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e16.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e16.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e16.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [CaISSDT] "C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\System32\MRT.exe" /R
O4 - HKLM\..\RunServices: [Win32] msnsrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Win32] msnsrv.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\wdntrust.dll (file missing)
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\lvj8091ue.dll (file missing)
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\n42u0ef9eh2.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\STARDOCK\OBJECT~2\WINDOW~1\wbsrv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\YnVua2VyZXI\command.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
28.09.2006, 15:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Nanot

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
Look2Me-Destroyer V1.0.5 - scannen
http://virus-protect.org/l2mfix.html

3.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

4.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 16:39
Nanot
...neu hier

Themenstarter

Beiträge: 2
#3 vielen dank schon mal für die schnelle anweisung!
im moment erlebe ich keine popups, aber um sicher zu gehn, post ich hier alles nötige:

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 28.09.2006 15:59:04

Infected! C:\WINDOWS\system32\wdntrust.dll
Infected! C:\WINDOWS\system32\lvj8091ue.dll
Infected! C:\WINDOWS\system32\kxdus.dll
Infected! C:\WINDOWS\system32\j8p00i7me8.dll
Infected! C:\WINDOWS\system32\wA5inf16.dll
Infected! C:\WINDOWS\system32\wX5inf16.dll
Infected! C:\WINDOWS\system32\rOsppp.dll
Infected! C:\WINDOWS\system32\d0j0la1m1d.dll
Infected! C:\WINDOWS\system32\TdmsMoComp_ff.dll
Infected! C:\WINDOWS\System32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\kxdus.dll
C:\WINDOWS\system32\kxdus.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\j8p00i7me8.dll
C:\WINDOWS\system32\j8p00i7me8.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\wA5inf16.dll
C:\WINDOWS\system32\wA5inf16.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\wX5inf16.dll
C:\WINDOWS\system32\wX5inf16.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\rOsppp.dll
C:\WINDOWS\system32\rOsppp.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\d0j0la1m1d.dll
C:\WINDOWS\system32\d0j0la1m1d.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\TdmsMoComp_ff.dll
C:\WINDOWS\system32\TdmsMoComp_ff.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\System32\guard.tmp
C:\WINDOWS\System32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Themes

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0A277BAA-EF80-49C4-8D17-2C28ABB3042D}"
HKCR\Clsid\{0A277BAA-EF80-49C4-8D17-2C28ABB3042D}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D6B06CEC-14C0-468E-B6BC-2CF1A77DD5AF}"
HKCR\Clsid\{D6B06CEC-14C0-468E-B6BC-2CF1A77DD5AF}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded
--------------------------------------------------------------------
combofix

bunkerer - 06-09-28 16:12:57,89 Service Pack 1
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\bunkerer\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\teller2.chk
C:\dfndrff_e16.exe
C:\drsmartload1.exe
C:\drsmartload45a45a45k.exe
C:\drsmartload.exe
C:\deskbar.exe
C:\deskbar_e13.exe
C:\deskbar_e15.exe
C:\kybrdff_e16.exe
C:\MTE3NDI6ODoxNgnew.exe
C:\MTE3NDI6ODoxNg.exe
C:\nwnmff_e16.exe
C:\warebundlenewer.exe
C:\Dokumente und Einstellungen\bunkerer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ULYBYF05\dfndrff_e_uit[1].exe
C:\Dokumente und Einstellungen\bunkerer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXWTKZWB\drsmartload45a[1].exe
C:\Dokumente und Einstellungen\bunkerer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ULYBYF05\drsmartload[1].exe
C:\Dokumente und Einstellungen\bunkerer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXWTKZWB\deskbar_e[1].exe
C:\Dokumente und Einstellungen\bunkerer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UNM7GVWJ\kybrdff_e[1].exe
C:\Dokumente und Einstellungen\bunkerer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXWTKZWB\MTE3NDI6ODoxNg[1].exe
C:\Dokumente und Einstellungen\bunkerer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UNM7GVWJ\nwnmff_e[1].exe
C:\ac3_0010.exe
C:\mte3ndi6odoxng.exe
C:\ucmoreiex.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Deskbar
C:\Programme\network monitor
C:\WINDOWS\YnVua2VyZXI


((((((((((((((((((((((((((((((( Files Created from 2006-08-28 to 2006-09-28 ))))))))))))))))))))))))))))))))))


2006-09-27 21:03 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-09-27 20:22 23,552 --a------ C:\mswoncl.exe
2006-09-27 19:44 61,952 --a------ C:\WINDOWS\system32\mgg022c7.dll
2006-09-27 19:44 578,560 --a------ C:\Installer4.exe
2006-09-27 19:44 29,696 --a------ C:\WINDOWS\system32\w0140e7e.dll
2006-09-27 19:44 1,233 --a------ C:\WINDOWS\system32\mgg022c7.sys
2006-09-06 14:14 8,192 --a------ C:\WINDOWS\system32\appmgmt.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-28 15:22 -------- d-------- C:\Programme\SUPERAntiSpyware
2006-09-28 15:22 -------- d-------- C:\Dokumente und Einstellungen\bunkerer\Anwendungsdaten\SUPERAntiSpyware.com
2006-09-28 14:32 -------- d-------- C:\Dokumente und Einstellungen\bunkerer\Anwendungsdaten\Lavasoft
2006-09-28 13:10 -------- d-------- C:\Programme\Lavasoft
2006-09-27 21:04 2560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-09-11 17:02 -------- d-------- C:\Programme\Google
2006-08-20 12:32 -------- d-------- C:\Programme\Skype
2006-08-12 12:44 -------- d-------- C:\Programme\Guitar-Online Tools
2006-08-12 11:59 -------- d-------- C:\Programme\Instrument-Tuner
2006-08-07 15:11 -------- d-------- C:\Programme\Mozilla Sunbird
2006-07-26 20:22 60318 --a------ C:\WINDOWS\system32\eraseme_63686.exe
2006-07-26 19:09 94208 -ra------ C:\WINDOWS\system32\winnnit.exe
2006-07-26 19:09 94208 -r-hs---- C:\WINDOWS\system32\xozmemz.exe
2006-07-26 12:13 451072 --a------ C:\WINDOWS\Radeon Omega Drivers v3.8.252 Uninstall.exe
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-13 10:51 612864 --a------ C:\WINDOWS\system32\xpsp2res.dll
2006-07-01 12:33 0 --a------ C:\WINDOWS\system32\67148.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"Free Download Manager"="C:\\Programme\\Free Download Manager\\fdm.exe -autorun"
"Win32"="msnsrv.exe"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\QtZpAcer.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"NAV CfgWiz"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\CfgWiz.exe /GUID NAV /CMDLINE \"REBOOT\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
"ATIPTA"="atiptaxx.exe"
"FLMOFFICE4DMOUSE"="C:\\Programme\\Browser Mouse\\GameMouse.exe"
"Win32"="msnsrv.exe"
"CloneCDTray"="\"d:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"mgg022c7"="RUNDLL32.EXE w0140e7e.dll,n 005022c20000000a0140e7e"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"CaISSDT"="\"C:\\Programme\\CA\\eTrust Internet Security Suite\\caissdt.exe\""
"eTrustPPAP"="\"C:\\Programme\\CA\\eTrust Internet Security Suite\\eTrust PestPatrol Anti-Spyware\\PPActiveDetection.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Win32"="msnsrv.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Win32"="msnsrv.exe"
"MS Dynamic Host Configuration Protocol"="MSDHCP32.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Win32"="msnsrv.exe"
"MS Dynamic Host Configuration Protocol"="MSDHCP32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"SoundMan"="SOUNDMAN.EXE"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\At1.job

Completion time: 28.09.2006 16:15:06.29
ComboFix.txt
------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

28.09.2006 16:26 41.108 vsconfig.xml
28.09.2006 16:25 1.233 mgg022c7.sys
28.09.2006 15:08 4.187 MRT.INI
27.09.2006 19:44 61.952 mgg022c7.dll
27.09.2006 19:44 29.696 w0140e7e.dll
23.09.2006 12:22 1.158 wpa.dbl
11.09.2006 10:37 8.960.936 MRT.exe
06.09.2006 14:15 8.192 appmgmt.exe
06.09.2006 14:14 85 appmgmt.inf
31.08.2006 07:56 463.360 URLMON.DLL
14.08.2006 12:05 0 TFTP1576
12.08.2006 19:22 170.688 FNTCACHE.DAT
26.07.2006 20:22 60.318 eraseme_63686.exe
26.07.2006 20:21 71 i
26.07.2006 19:09 94.208 xozmemz.exe
26.07.2006 19:09 94.208 winnnit.exe
26.07.2006 18:05 902.476 PerfStringBackup.INI
26.07.2006 18:05 53.770 perfc009.dat
26.07.2006 18:05 393.086 perfh007.dat
26.07.2006 18:05 382.026 perfh009.dat
26.07.2006 18:05 64.854 perfc007.dat
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:57 307.200 netapi32.dll
14.07.2006 17:36 519.168 hhctrl.ocx
13.07.2006 15:50 8.394.240 shell32.dll
13.07.2006 10:51 612.864 xpsp2res.dll
05.07.2006 12:53 1.002.496 kernel32.dll
01.07.2006 12:33 0 67148.exe
01.07.2006 12:33 78 bios.rom

2134 Datei(en) 400.183.124 Bytes
0 Verzeichnis(se), 1.399.570.432 Bytes frei
----------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\bunkerer\LOKALE~1\Temp

28.09.2006 16:30 206 jusched.log
17.02.2006 16:55 143.360 SSUPDATE.EXE
2 Datei(en) 143.566 Bytes
0 Verzeichnis(se), 1.399.177.216 Bytes frei
---------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

28.09.2006 16:24 1.431.665 WindowsUpdate.log
28.09.2006 16:14 4.230 ModemLog_Agere Systems AC'97 Modem.txt
28.09.2006 16:14 159 wiadebug.log
28.09.2006 16:14 0 0.log
28.09.2006 16:14 2.048 bootstat.dat
28.09.2006 15:47 32.584 SchedLgU.Txt
28.09.2006 15:47 50 wiaservc.log
28.09.2006 15:13 22.199 KB921883.log
28.09.2006 15:13 60.439 iis6.log
28.09.2006 15:13 138.859 comsetup.log
28.09.2006 15:13 82.361 ntdtcsetup.log
28.09.2006 15:13 1.374 imsins.log
28.09.2006 15:13 151.827 tsoc.log
28.09.2006 15:13 13.785 ocmsn.log
28.09.2006 15:13 402.174 FaxSetup.log
28.09.2006 15:13 19.070 msgsocm.log
28.09.2006 15:13 200.558 ocgen.log
28.09.2006 15:13 542.995 setupapi.log
28.09.2006 15:13 36.399 updspapi.log
28.09.2006 15:13 1.374 imsins.BAK
28.09.2006 15:13 21.972 KB922616.log
28.09.2006 15:12 22.502 KB920685.log
28.09.2006 15:11 14.155 KB925486-IE6SP1-20060918.120000.log
28.09.2006 15:10 25.357 KB921398.log
28.09.2006 15:10 20.378 KB920670.log
28.09.2006 15:09 21.173 KB919007.log
28.09.2006 15:08 20.682 KB917422.log
28.09.2006 15:07 12.500 KB918899-IE6SP1-20060725.123917.log
28.09.2006 15:06 19.279 KB920683.log
28.09.2006 14:27 0 pestpatrol5.INI
27.09.2006 23:09 69 NeroDigital.ini
27.09.2006 21:04 2.560 _MSRSTRT.EXE
27.09.2006 19:45 0 keyboard1.dat
27.09.2006 19:44 0 newname.dat
19.09.2006 00:46 7.307 svcpack.log
16.09.2006 20:27 2.564 wmsetup.log
08.09.2006 11:00 222.592 setupact.log
16.08.2006 22:38 227 RtlRack.ini
12.08.2006 12:40 186 GT203.INI
26.07.2006 19:58 337.898 DirectX.log
26.07.2006 18:21 8.487 EPSTPLOG.TXT
26.07.2006 18:20 11.270 EPSTPLOG.BAK
26.07.2006 12:16 274.581 Omega Drivers v3.8.252.log
26.07.2006 12:13 451.072 Radeon Omega Drivers v3.8.252 Uninstall.exe
25.07.2006 23:24 2.321 spupdsvc.log
25.07.2006 23:19 32.121 KB917734.log
25.07.2006 23:18 41.763 KB911280.log
25.07.2006 23:18 30.602 KB917159.log
25.07.2006 23:18 50.741 KB914798.log
25.07.2006 23:17 22.617 KB918439-IE6SP1-20060530.145346.log
25.07.2006 23:17 23.264 KB916281-IE6SP1-20060526.162249.log
25.07.2006 23:16 29.600 KB914388.log
25.07.2006 23:16 17.420 KB917344.log
25.07.2006 23:16 17.769 KB917953.log
25.07.2006 23:15 18.664 KB914389.log
25.07.2006 23:14 33.098 Radeon Omega Drivers v3.8.252 Uninstall Log.txt
25.07.2006 23:14 10 WININIT.INI
25.07.2006 23:13 32.839 Radeon Omega Drivers v3.8.231 Uninstall Log.txt
---------------------------------------------------------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

28.09.2006 16:32 0 sys.txt
28.09.2006 16:31 11.177 system.txt
28.09.2006 16:31 336 systemtemp.txt
28.09.2006 16:31 104.385 system32.txt
28.09.2006 16:15 9.406 ComboFix.txt
28.09.2006 16:14 805.306.368 pagefile.sys
28.09.2006 16:14 535.351.296 hiberfil.sys
28.09.2006 14:21 5.340 caisslog.txt
27.09.2006 23:14 30.729.694 reclock_log.txt
27.09.2006 20:22 23.552 mswoncl.exe
27.09.2006 19:45 578.560 Installer4.exe
06.09.2006 14:04 11.461 NewStatusNotify.log
12.08.2006 19:18 510 ICQLite.log
02.06.2006 16:38 246 BcBtRmv.log
02.06.2006 14:07 194 BOOT.INI
21.10.2003 17:40 0 IO.SYS
21.10.2003 17:40 0 MSDOS.SYS
21.10.2003 16:49 512 BOOTSECT.DOS
21.10.2003 16:46 70 PRELOAD.AAA
02.04.2003 12:00 4.952 bootfont.bin
02.04.2003 12:00 235.296 ntldr
02.04.2003 12:00 47.580 NTDETECT.COM
22 Datei(en) 1.372.420.935 Bytes
0 Verzeichnis(se), 1.399.111.680 Bytes frei
---------------------------------------------------------

vielen dank für die mühe!!
Seitenanfang Seitenende
28.09.2006, 17:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 0.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SoftwareDistribution\Download\9a8230d00c13b1f8b0f6f910af9d471e\update\update.exe

poste den report
------------------------------------------------------------------------------------------------------------

1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [Win32] msnsrv.exe
O4 - HKLM\..\Run: [mgg022c7] RUNDLL32.EXE w0140e7e.dll,n 005022c20000000a0140e7e
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e16.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e16.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e16.exe
O4 - HKLM\..\RunServices: [Win32] msnsrv.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Win32] msnsrv.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Win32] msnsrv.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\wdntrust.dll (file missing)
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\lvj8091ue.dll (file missing)
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\n42u0ef9eh2.dll

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\WINDOWS\system32\67148.exe
C:\WINDOWS\system32\mgg022c7.sys
C:\WINDOWS\system32\mgg022c7.dll
C:\WINDOWS\system32\w0140e7e.dll
C:\WINDOWS\system32\appmgmt.exe
C:\WINDOWS\system32\appmgmt.inf
C:\WINDOWS\system32\TFTP1576
C:\WINDOWS\system32\eraseme_63686.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\xozmemz.exe
C:\WINDOWS\system32\winnnit.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
C:\mswoncl.exe
C:\Installer4.exe

Folders to delete:
C:\WINDOWS\YnVua2VyZXI
C:\Programme\Free Download Manager

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
scanne mit smitfraud.fix - Option 1 und 2 - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1