spyware eingefangen - http://www.isecuritypage.com/

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.10.2006, 10:51
Member

Beiträge: 16
#1 hallo leute!

und wieder einer, der sich was eingefangen hat .....

als startseite kriege ich im IE explorer immer folgende page: http://www.isecuritypage.com/

lästig! zudem lässt er mich zb nur nach lust und laune auf goggel zugreifen ....

ad-aware hab ich schon drüberlaufen lassen, hat zwar dieses und jenes erkannt, mein problem bleibt aber.

hier mein logfile von HijackThis:

Danke f Hilfe!


Logfile of HijackThis v1.99.1
Scan saved at 10:39:05, on 09.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt1.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135335984000
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135335965343
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{9405883E-A46F-452A-A5BD-A5C18FD754E7}: NameServer = 129.27.2.3,129.27.3.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O21 - SSODL: horologium - {7be183d2-a42d-4915-bf60-ec86fbf002cf} - C:\WINDOWS\system32\httge.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOKUME~1\conny\LOKALE~1\Temp\dnlsvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Seitenanfang Seitenende
09.10.2006, 10:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
scanne mit option 1 und 2 - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
poste dieses log, bitte
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 12:37
Member

Themenstarter

Beiträge: 16
#3 1.)

smithfraudfix - scan mit option 1

SmitFraudFix v2.106

Scan done at 12:00:44,15, 09.10.2006
Run from C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\smithfraudfix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ishost.exe FOUND !
C:\WINDOWS\system32\ismini.exe FOUND !
C:\WINDOWS\system32\issearch.exe FOUND !
C:\WINDOWS\system32\ixt?.dll FOUND !
C:\WINDOWS\system32\ixt??.dll FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\components\flx?.dll FOUND !
C:\WINDOWS\system32\components\flx??.dll FOUND !
C:\WINDOWS\system32\components\flx???.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\conny


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\conny\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\conny\FAVORI~1

C:\DOKUME~1\conny\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\Safety Bar\ FOUND !
C:\Programme\Spy-Heal\ FOUND !
C:\Programme\VirusBurster\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7be183d2-a42d-4915-bf60-ec86fbf002cf}"="horologium"

[HKEY_CLASSES_ROOT\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End




%%%%%%%%%%%%%%%%%%%

smithfraudfix - scan mit option 2


SmitFraudFix v2.106

Scan done at 12:08:09,25, 09.10.2006
Run from C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\smithfraudfix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7be183d2-a42d-4915-bf60-ec86fbf002cf}"="horologium"

[HKEY_CLASSES_ROOT\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ishost.exe Deleted
C:\WINDOWS\system32\ismini.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\components\flx?.dll Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOKUME~1\conny\FAVORI~1\Antivirus Test Online.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\Safety Bar\ Deleted
C:\Programme\Spy-Heal\ Deleted
C:\Programme\VirusBurster\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


%%%%%%%%%%%%%%%%%%%%%

2.)

combofix


conny - 06-10-09 12:15:42,65 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\combofix"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-09-09 to 2006-10-09 ))))))))))))))))))))))))))))))))))


2006-10-08 10:59 2,816 --a------ C:\WINDOWS\system32\msdirect.sys
2006-09-23 11:31 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
2006-09-23 11:31 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-08 11:40 -------- d-------- C:\Programme\Lavasoft
2006-10-08 11:40 -------- d-------- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Lavasoft
2006-10-04 14:26 -------- d-------- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\AdobeUM
2006-09-24 11:23 -------- d-------- C:\Programme\Google
2006-09-23 11:35 -------- d-------- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Teleca
2006-09-23 11:34 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-09-23 11:33 -------- d-------- C:\Programme\Sony Ericsson
2006-09-23 11:33 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-23 11:10 -------- d---s---- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Microsoft
2006-09-23 11:09 -------- d-------- C:\Programme\Mobile Action
2006-09-23 10:30 38527 --a------ C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Microsoft Excel.ADR
2006-08-21 14:43 -------- d-------- C:\Programme\Adobe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"DriverLoad"=""
"DriverCheck"=""
"SystemDriverLoad"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_05\\bin\\jusched.exe"
"RaidTool"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"AlcWzrd"="ALCWZRD.EXE"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"NWTRAY"="NWTRAY.EXE"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"iPrint Tray"="C:\\WINDOWS\\system32\\iprntctl.exe TRAY_ICON"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ScheduleSync.Siemens.SmartSync.5.2.exe"="C:\\Programme\\Mobile Phone Manager\\SmartSync\\ScheduleSync.exe"
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt


Cannot create file aa.txt



HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 09.10.2006 12:22:58.62
ComboFix.txt


%%%%%%%%%%%%%5

seit den scans mit smithfraudfix kann ich den explorer übrigens wieder mit der von mir gewünschten homepage starten :-)

danke & lg conny
Seitenanfang Seitenende
09.10.2006, 12:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msdirect.sys

ist ein Rootkit, poste den report

2.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 13:06
Member

Themenstarter

Beiträge: 16
#5 1.) virustotal

STATUS: FINISHEDComplete scanning result of "msdirect.sys", received in VirusTotal at 10.09.2006, 12:51:21 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.09.2006 BDS/ForBot.AF.1
Authentium 4.93.8 10.06.2006 W32/Backdoor.KYJ
Avast 4.7.892.0 10.08.2006 Win32:Trojan-gen. {Other}
AVG 386 10.07.2006 BackDoor.Generic2.MJC
BitDefender 7.2 10.09.2006 Backdoor.ForBot.M
CAT-QuickHeal 8.00 10.07.2006 no virus found
ClamAV devel-20060426 10.09.2006 Trojan.Forbot
DrWeb 4.33 10.09.2006 Trojan.DownLoader.7332
eTrust-InoculateIT 23.73.16 10.07.2006 Win32/Shadown!Trojan
eTrust-Vet 30.3.3123 10.09.2006 Win32/Shadown
Ewido 4.0 10.09.2006 Backdoor.ForBot.af
Fortinet 2.82.0.0 10.09.2006 W32/RKFu.C!tr.bdr
F-Prot 3.16f 10.06.2006 security risk named W32/Backdoor.KYJ
F-Prot4 4.2.1.29 10.06.2006 W32/Backdoor.KYJ
Ikarus 0.2.65.0 10.09.2006 Backdoor.Win32.ForBot.af
Kaspersky 4.0.2.24 10.09.2006 Backdoor.Win32.ForBot.af
McAfee 4868 10.06.2006 NTRootKit-R
Microsoft 1.1603 10.09.2006 VirTool:WinNT/FURootkit.V
NOD32v2 1.1795 10.09.2006 Win32/Rootkit.Agent.NAD
Norman 5.80.02 10.06.2006 W32/SDBot.ZKR
Panda 9.0.0.4 10.08.2006 Dialer.GRN
Sophos 4.10.0 10.05.2006 Troj/RKFu-C
TheHacker 6.0.1.094 10.08.2006 Backdoor/ForBot.af
UNA 1.83 10.06.2006 Backdoor.ForBot.F76A
VBA32 3.11.1 10.08.2006 Backdoor.Win32.ForBot.af
VirusBuster 4.3.7:9 10.08.2006 Worm.ForBot.CV


Aditional Information
File size: 2816 bytes
MD5: b8329f32492cb2330260b7cf1d853e51
SHA1: b3fa4b03298913dcf94b26d44a55a39e93653518

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-06:: e-mail info@virustotal.com








2.) ServiceFilter

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Okt 9, 2006 13:05:41


===> Begin Service Listing <===

Unknown Service #1
Service Name: cusrvc
Display Name: Client Update Service for Novell
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\cusrvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #2
Service Name: CVPND
Display Name: Cisco Systems, Inc. VPN Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\cisco systems\vpn client\cvpnd.exe"
State: Running
Process ID: 792
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 3
Service Name: dnlsvc
Display Name: MS Software Shadow Download Provider
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\dokume~1\conny\lokale~1\temp\dnlsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: InoRPC
Display Name: eTrust Antivirus RPC Server
Start Mode: Auto
Start Name: LocalSystem
Description: Listens for Admin Server discovery and policy ...
Service Type: Own Process
Path: "c:\programme\ca\etrust antivirus\inorpc.exe"
State: Running
Process ID: 824
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 6
Service Name: InoRT
Display Name: eTrust Antivirus Realtime Server
Start Mode: Auto
Start Name: LocalSystem
Description: Provides real-time on-access virus ...
Service Type: Own Process
Path: "c:\programme\ca\etrust antivirus\inort.exe"
State: Running
Process ID: 920
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 7
Service Name: InoTask
Display Name: eTrust Antivirus Job Server
Start Mode: Auto
Start Name: LocalSystem
Description: Schedules background task such as scan jobs and signature ...
Service Type: Own Process
Path: "c:\programme\ca\etrust antivirus\inotask.exe"
State: Running
Process ID: 944
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #8
Service Name: iPodService
Display Name: iPodService
Start Mode: Manual
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Running
Process ID: 3048
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #9
Service Name: matlabserver
Display Name: MATLAB Server
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\matlab6p1\webserver\bin\win32\matlabserver.exe
State: Running
Process ID: 1376
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #10
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Supports local and remote debugging for Visual Studio and script debuggers. If this service is ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe"
State: Running
Process ID: 1724
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #11
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #12
Service Name: SLService
Display Name: SmartLinkService
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: slserv.exe
State: Running
Process ID: 1864
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #13
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{f505244a-dcbd-4c1f-a020-3ca056c01cdd}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 91 Win32 services on this machine.
13 were unrecognized.

Script Execution Time: 0,890625 seconds.
Seitenanfang Seitenende
09.10.2006, 13:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
poste das log

_____________________________________________________

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\msdirect.sys
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 14:08
Member

Themenstarter

Beiträge: 16
#7 10/09/06 13:59:18 [Info]: BlackLight Engine 1.0.47 initialized
10/09/06 13:59:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/09/06 13:59:19 [Note]: 7019 4
10/09/06 13:59:19 [Note]: 7005 0
10/09/06 14:00:04 [Note]: 7006 0
10/09/06 14:00:04 [Note]: 7011 1036
10/09/06 14:00:04 [Note]: 7026 0
10/09/06 14:00:04 [Note]: 7026 0
10/09/06 14:00:14 [Note]: FSRAW library version 1.7.1020
10/09/06 14:03:19 [Note]: 2000 1012
10/09/06 14:03:19 [Note]: 2000 1012
10/09/06 14:04:29 [Note]: 7007 0


nach dem scanvorgang schreibt er übrigens "scan complete. no hidden items found"
Seitenanfang Seitenende
09.10.2006, 14:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 o.k.
arbeite alles weitere ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 15:36
Member

Themenstarter

Beiträge: 16
#9 1.) datfindbat

1.1

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D041-A4D7

Verzeichnis von C:\WINDOWS\system32

09.10.2006 12:15 54.562 perfc009.dat
09.10.2006 12:15 384.208 perfh009.dat
09.10.2006 12:15 65.620 perfc007.dat
09.10.2006 12:15 395.688 perfh007.dat
09.10.2006 12:15 909.320 PerfStringBackup.INI
08.10.2006 11:05 2.816 msdirect.sys
26.09.2006 22:42 2.206 wpa.dbl
23.06.2006 16:23 1.413 mapisvc.inf
11.04.2006 21:52 565.170 large.bnk
11.04.2006 21:52 278.528 livesnth.dll
11.04.2006 21:52 11.333 cf_lic.txt
03.03.2006 20:43 263.024 FNTCACHE.DAT
10.02.2006 21:46 176.167 rmoc3260.dll
10.02.2006 21:46 5.632 pndx5032.dll
10.02.2006 21:46 6.656 pndx5016.dll
10.02.2006 21:46 278.528 pncrt.dll
06.01.2006 12:39 5.618 jupdate-1.5.0_05-b05.log

1.2


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D041-A4D7

Verzeichnis von C:\DOKUME~1\conny\LOKALE~1\Temp


1.3


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D041-A4D7

Verzeichnis von C:\WINDOWS

09.10.2006 15:27 1.308.351 WindowsUpdate.log
09.10.2006 12:11 0 0.log
09.10.2006 12:11 159 wiadebug.log
09.10.2006 12:11 50 wiaservc.log
09.10.2006 12:11 2.048 bootstat.dat
09.10.2006 12:08 182.852 setupact.log
09.10.2006 12:03 373.518 ntbtlog.txt
09.10.2006 12:02 32.536 SchedLgU.Txt
07.10.2006 22:31 116 NeroDigital.ini
07.10.2006 13:19 27.326 wmsetup.log
04.10.2006 15:29 157 matlab.ini
25.09.2006 21:00 0 mngui.INI
23.09.2006 11:36 1.208.294 setupapi.log
23.09.2006 11:33 355.642 DPINST.LOG
23.09.2006 11:23 0 PanelExe.INI
23.09.2006 11:17 19 SoundConverter.INI
23.09.2006 10:30 400 ODBC.INI
04.09.2006 12:22 291 cdplayer.ini
11.07.2006 12:59 0 CPC10Q.INI
29.06.2006 17:49 28 MotionDVSTUDIO.INI
22.02.2006 12:24 0 nokiacontentcopier.INI
19.01.2006 21:58 334 GEARInstall.log
09.01.2006 11:32 28 Hmplayer.INI
06.01.2006 19:04 316.640 WMSysPr9.prx
03.01.2006 19:48 9.438 system.ini
03.01.2006 14:15 35.918 FontData.fdb


1.4


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D041-A4D7

Verzeichnis von C:\WINDOWS\Temp

1.5


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D041-A4D7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.12.2005 12:19 65 desktop.ini
27.08.2005 14:30 5.065 swflash.inf
29.06.2005 18:17 227 opuc.inf
26.05.2005 05:19 293 muweb.inf
26.05.2005 05:19 291 wuweb.inf
19.09.2003 15:22 299.008 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
8 Datei(en) 526.133 Bytes
0 Verzeichnis(se), 6.652.731.392 Bytes frei


1.6


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D041-A4D7

Verzeichnis von C:\

09.10.2006 15:31 0 sys.txt
09.10.2006 15:31 634 down.txt
09.10.2006 15:31 117 tmp.txt
09.10.2006 15:31 6.099 system.txt
09.10.2006 15:30 133 systemtemp.txt
09.10.2006 15:29 100.726 system32.txt
09.10.2006 12:22 5.235 ComboFix.txt
09.10.2006 12:11 1.073.139.712 hiberfil.sys
09.10.2006 12:11 1.610.612.736 pagefile.sys
09.10.2006 12:08 2.035 rapport.txt
23.09.2006 11:26 1.207 Install.log
23.09.2006 11:25 2.554 DrvInst.log
23.09.2006 11:25 284 DrvInst (1).log
23.09.2006 11:25 231 DrvInst (2).log
23.09.2006 11:20 1.207 Install (1).log
23.09.2006 11:20 339 Install (2).log
23.06.2006 16:25 27.336 SDSSetup.log


2.) blacklight

10/09/06 15:31:55 [Info]: BlackLight Engine 1.0.47 initialized
10/09/06 15:31:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/09/06 15:31:55 [Note]: 7019 4
10/09/06 15:31:55 [Note]: 7005 0
10/09/06 15:31:57 [Note]: 7006 0
10/09/06 15:31:57 [Note]: 7011 2840
10/09/06 15:31:57 [Note]: 7026 0
10/09/06 15:31:57 [Note]: 7026 0
10/09/06 15:32:03 [Note]: FSRAW library version 1.7.1020
10/09/06 15:35:13 [Note]: 2000 1012
10/09/06 15:35:13 [Note]: 2000 1012
10/09/06 15:35:45 [Note]: 7007 0





3.) DrWeb


"abschlossen - keine viren gefunden"
Dieser Beitrag wurde am 09.10.2006 um 15:48 Uhr von coppelia editiert.
Seitenanfang Seitenende
09.10.2006, 16:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 das hast du vor dem scan rausgeloescht ?

C:\WINDOWS\system32\
08.10.2006 11:05 2.816 msdirect.sys


dann muesste wieder alles in Ordnung sein.....

**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.10.2006, 16:11
Member

Themenstarter

Beiträge: 16
#11 1.) ja, wie oben beschrieben mit dem avenger


2.)

Logfile of HijackThis v1.99.1
Scan saved at 16:08:53, on 09.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\iprntctl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\drweb-cureit\drweb-cureit.exe
C:\DOKUME~1\conny\LOKALE~1\Temp\RarSFX0\_start.exe
C:\DOKUME~1\conny\LOKALE~1\Temp\RarSFX0\cureit.exe
C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135335984000
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135335965343
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{9405883E-A46F-452A-A5BD-A5C18FD754E7}: NameServer = 129.27.2.3,129.27.3.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOKUME~1\conny\LOKALE~1\Temp\dnlsvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Seitenanfang Seitenende
09.10.2006, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt1.dll (file missing)

O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOKUME~1\conny\LOKALE~1\Temp\dnlsvc.exe (file missing)

PC neustarten

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2006, 08:54
Member

Themenstarter

Beiträge: 16
#13 scanreport von panda:

da ich gestern - montag weg musste, musste ich auch den pc abdrehen und den scan abbrechen.

report bis zum abbrechen von montag:


Incident Status Location

Adware:adware/picsplace Not disinfected Windows Registry
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@advertising[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@doubleclick[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@ehg-idg.hitbox[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@hitbox[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Virus:W32/Netsky.Q.worm Disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\sort\siko\thunderbird\Mail\Local Folders\Outlook Mail.sbd\mail2004.sbd\div[~0000059.~][mail18566.zip]





vollständiger scan von heute - dienstag früh:




Incident Status Location

Adware:adware/picsplace Not disinfected Windows Registry
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@advertising[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@doubleclick[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@ehg-idg.hitbox[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@hitbox[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Adware:Adware/PicsPlace Not disinfected C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WH2R8T2F\go[1].exe
Seitenanfang Seitenende
10.10.2006, 09:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 avenger

Zitat

Folders to delete:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WH2R8T2F
««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
scanne mit McAfee FreeScan (Online)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2006, 09:59
Member

Themenstarter

Beiträge: 16
#15 1.)

avenger:

error - could not create zipfile

press OK to log error and continue or Cancel to abort

Error Code: 0

-> neustart pc (keine ahnung was der anvenger dann noch gemacht hat, das editor fenster mit avenger.txt war leer)

2.)
datenträgerbereinigung gemacht

3.)
mcafee will unbedingt eine wlan verbindung....
kann ich im augenblick nicht bieten. das ungesichtere wlan netzwerk funzt nicht richtig, der rest ist sicherheitsaktiviert....
Dieser Beitrag wurde am 10.10.2006 um 10:47 Uhr von coppelia editiert.
Seitenanfang Seitenende