Home » Viren, Trojaner & Malware Forum » Critical System Errors! » Themenansicht

Critical System Errors!
#0
07.11.2006, 16:05
Mikka88
...neu hier

Beiträge: 9
#1 Hi,auch ich habe ein Problem unten rechts in der Task-Leiste....
es nervt!!!
wäre spitze wenn jemand auch mein Problem lösen könnte

Logfile of HijackThis v1.99.1
Scan saved at 17:57:37, on 06.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Ericsson\BMS\Server\bmsService.exe
C:\PROGRAM FILES\ERICSSON\BLINK\BLINK.EXE
C:\Programme\Ericsson\BMS\Server\_jvm\bin\javaw.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\NOD32\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\NOD32\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\MJAKOBY\Eigene Dateien\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunServices: [Windows sq Drivers] winmsn32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = IC.local
O17 - HKLM\Software\..\Telephony: DomainName = IC.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{23616672-F2C8-4EAF-AEFF-991D62EABC0F}: NameServer = 192.168.32.10,192.168.32.250
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = IC.local
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll
O23 - Service: BusinessPhone Management Suite (BMSService) - Ericsson Austria GmbH - C:\Programme\Ericsson\BMS\Server\bmsService.exe
O23 - Service: BusinessLink for Windows - Ericsson, Inc. - C:\PROGRAM FILES\ERICSSON\BLINK\BLINK.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\NOD32\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Dieser Beitrag wurde am 07.11.2006 um 16:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.11.2006, 16:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Mikka88

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.11.2006, 17:17
Mikka88
...neu hier

Themenstarter

Beiträge: 9
#3 MJAKOBY - 06-11-07 17:11:22,90 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\MJAKOBY\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-07 to 2006-11-07 ))))))))))))))))))))))))))))))))))


2006-11-06 10:18 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2006-11-06 10:18 274,432 --a------ C:\WINDOWS\system32\imon.dll
2006-11-03 13:07 106,496 --a------ C:\WINDOWS\system32\okkmtv.dll
2006-10-27 12:14 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-10-24 14:12 45,056 --a------ C:\WINDOWS\system32\tcdevmgr.dll
2006-10-24 14:12 173,676 --a------ C:\WINDOWS\system32\tccfg.dll
2006-10-24 14:12 118,784 --a------ C:\WINDOWS\system32\tapihlp.dll
2006-10-24 14:07 69,632 --a------ C:\WINDOWS\system32\soedber.dll
2006-10-24 14:07 49,152 --a------ C:\WINDOWS\system32\eCcRoutr.dll
2006-10-24 14:07 45,056 --a------ C:\WINDOWS\system32\eCcRactr.dll
2006-10-24 14:07 40,960 --a------ C:\WINDOWS\system32\eCcSynch.dll
2006-10-24 14:07 40,960 --a------ C:\WINDOWS\system32\eCcStrm.dll
2006-10-24 14:07 40,448 --a------ C:\WINDOWS\system32\api.dll
2006-10-24 14:07 36,864 --a------ C:\WINDOWS\system32\eCcFxLog.dll
2006-10-24 14:07 32,768 --a------ C:\WINDOWS\system32\eCcSock.dll
2006-10-24 14:07 32,768 --a------ C:\WINDOWS\system32\eCcNPipe.dll
2006-10-24 14:07 32,768 --a------ C:\WINDOWS\system32\eCcEvtCh.dll
2006-10-24 14:07 28,672 --a------ C:\WINDOWS\system32\eCcThrd.dll
2006-10-24 14:07 28,160 --a------ C:\WINDOWS\system32\cstrain.dll
2006-10-24 14:07 266,240 --a------ C:\WINDOWS\system32\csta32.dll
2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcTcpAd.dll
2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcNBAd.dll
2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcGetOp.dll
2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcFxNt.dll
2006-10-24 14:07 17,408 --a------ C:\WINDOWS\system32\ossdmem.dll
2006-10-24 14:07 15,360 --a------ C:\WINDOWS\system32\ossapi.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-06 11:38 -------- d-------- C:\Dokumente und Einstellungen\MJAKOBY\Anwendungsdaten\Lavasoft
2006-11-06 11:37 -------- d-------- C:\Programme\Lavasoft
2006-11-06 11:31 -------- d-------- C:\Programme\Enigma Software Group
2006-11-06 10:48 -------- d-------- C:\Programme\NOD32
2006-10-27 12:28 -------- d-------- C:\Programme\WinRAR
2006-10-27 12:28 -------- d-------- C:\Programme\Cordless Phone Manager
2006-10-27 12:14 -------- d-------- C:\Dokumente und Einstellungen\MJAKOBY\Anwendungsdaten\TuneUp Software
2006-10-27 12:12 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-27 12:12 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-27 10:25 -------- d-------- C:\Programme\p-nand-q.com
2006-10-27 10:21 -------- d-------- C:\Programme\RegCleaner
2006-10-13 12:29 33935 --a------ C:\Programme\LASTLOAD.KDS
2006-09-15 09:31 -------- d-------- C:\Programme\Google
2006-09-11 11:49 -------- d-------- C:\Programme\Yahoo!
2006-09-11 08:06 -------- d-------- C:\Programme\Microsoft ActiveSync
2006-09-08 13:55 -------- d-------- C:\Dokumente und Einstellungen\MJAKOBY\Anwendungsdaten\vlc


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Windows sq Drivers"="winmsn32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nod32kui"="\"C:\\Programme\\NOD32\\nod32kui.exe\" /WAITSERVICE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,b5,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"bonspells"="{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HiPath 1220 CommServer.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HiPath 1220 CommServer.lnk"
"backup"="C:\\WINDOWS\\pss\\HiPath 1220 CommServer.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Siemens\\HIPATH~2\\Service\\CommSrv\\CommSvr.exe "
"item"="HiPath 1220 CommServer"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GoogleToolbarNotifier"
"hkey"="HKCU"
"command"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MDM"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-11-07 17:14:31.07
C:\ComboFix.txt ... 06-11-07 17:14
Seitenanfang Seitenende
07.11.2006, 18:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 scanne mit oiption 1 und 2 - lasse auch die registry mitreinigen - okkmtv.dll
wird geloescht werden (hoffentlich) ;)
poste hier beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2006, 09:26
Mikka88
...neu hier

Themenstarter

Beiträge: 9
#5 option 1
SmitFraudFix v2.119

Scan done at 9:19:13,16, 08.11.2006
Run from C:\Dokumente und Einstellungen\MJAKOBY\Eigene Dateien\avenger\smitfraudfix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_CLASSES_ROOT\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

option 2
SmitFraudFix v2.119

Scan done at 9:19:13,16, 08.11.2006
Run from C:\Dokumente und Einstellungen\MJAKOBY\Eigene Dateien\avenger\smitfraudfix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_CLASSES_ROOT\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32]
@="C:\WINDOWS\system32\okkmtv.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
08.11.2006, 13:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Mikka88

nun schauen wir uns mal den Virus/Backdoor genauer an, der anscheinend noch auf dem System ist....

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Windows sq Drivers"="winmsn32.exe"
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2006, 12:25
Mikka88
...neu hier

Themenstarter

Beiträge: 9
#7 hi,also Task-Leiste ist sauber :-) freu....ne,super freu
aber der Rechner ist langsamer geworden.....

und hier die 6 Textdateien

Nr.1 :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

Verzeichnis von C:\WINDOWS\system32

09.11.2006 12:04 13.646 wpa.dbl
08.11.2006 09:19 0 tmp.txt
08.11.2006 09:19 1.224 tmp.reg
06.11.2006 10:18 274.432 imon.dll
30.10.2006 13:52 335.554 perfh009.dat
30.10.2006 13:52 49.480 perfc009.dat
30.10.2006 13:52 341.504 perfh007.dat
30.10.2006 13:52 58.080 perfc007.dat
30.10.2006 13:52 793.228 PerfStringBackup.INI
27.10.2006 08:24 240.736 FNTCACHE.DAT
02.10.2006 15:24 24.072 uxtuneup.dll
29.08.2006 18:43 135.168 swreg.exe
29.08.2006 16:05 16.832 amcompat.tlb
29.08.2006 16:05 23.392 nscompat.tlb
24.07.2006 17:14 173.676 tccfg.dll
24.07.2006 17:14 709.776 tapibridge.tsp
24.07.2006 17:13 118.784 tapihlp.dll
24.07.2006 17:13 45.056 tcdevmgr.dll

Nr.2 :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

Verzeichnis von C:\DOKUME~1\MJAKOBY\LOKALE~1\Temp

09.11.2006 12:06 9.121 IH7.tmp
09.11.2006 12:05 1.426 ExchangePerflog_8484fa317a2a957c3925e066.dat
09.11.2006 12:04 224 WCESCOMM.LOG
29.04.2005 17:11 380.736 applnch.exe
4 Datei(en) 391.507 Bytes
0 Verzeichnis(se), 12.931.346.432 Bytes frei

Nr.3 :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

Verzeichnis von C:\WINDOWS

09.11.2006 12:02 0 0.log
09.11.2006 12:01 3.442 ModemLog_MicroLink 56k Fun PnP #2.txt
09.11.2006 12:01 159 wiadebug.log
09.11.2006 12:01 50 wiaservc.log
09.11.2006 12:01 2.048 bootstat.dat
09.11.2006 12:00 1.743.677 WindowsUpdate.log
09.11.2006 12:00 32.574 SchedLgU.Txt
08.11.2006 09:27 557.816 ntbtlog.txt
08.11.2006 09:19 185.350 setupact.log
07.11.2006 14:15 1.015 Tda30.INI
07.11.2006 11:45 862 Tda200.INI
06.11.2006 13:09 761 win.ini
06.11.2006 13:09 227 system.ini
06.11.2006 10:23 2.128.781 setupapi.log
27.10.2006 08:35 148.987 wmsetup.log
24.10.2006 14:16 0 blsecurity.INI
24.10.2006 14:15 57 csta.ini
24.10.2006 14:07 0 BLCONFIG.INI
20.10.2006 13:14 2.893 vpd.properties
13.10.2006 12:30 28.736 FBZADMIN.INI
11.09.2006 08:06 2.510 Microsoft.MIF
29.08.2006 16:06 459 wmsetup10.log
29.08.2006 16:04 316.640 WMSysPr9.prx
26.07.2006 11:59 55.296 ginstall.dll
19.06.2006 16:57 14.130 ASS_150E.INI
04.05.2006 12:49 4.325 mozver.dat

Nr.4 :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

Verzeichnis von C:\WINDOWS\Temp

09.11.2006 12:01 0 T30DebugLogFile.txt
09.11.2006 12:01 16.384 Perflib_Perfdata_5d0.dat
2 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 12.931.334.144 Bytes frei

Nr.5 :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 10:41 5.032 swflash.inf
07.06.2006 10:09 1.249 erma.inf
15.11.2004 14:40 65 desktop.ini
3 Datei(en) 6.346 Bytes
0 Verzeichnis(se), 12.931.334.144 Bytes frei

Nr.6 :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

Verzeichnis von C:\

09.11.2006 12:19 0 sys.txt
09.11.2006 12:19 391 down.txt
09.11.2006 12:19 346 tmp.txt
09.11.2006 12:17 9.745 system.txt
09.11.2006 12:16 471 systemtemp.txt
09.11.2006 12:16 110.420 system32.txt
09.11.2006 12:00 301.518.848 hiberfil.sys
09.11.2006 12:00 268.435.456 pagefile.sys
08.11.2006 09:21 1.393 rapport option 2.txt
08.11.2006 09:21 1.393 rapport.txt
07.11.2006 17:17 8.854 ComboFix_sich.txt
07.11.2006 17:14 8.854 ComboFix.txt
06.11.2006 13:09 211 boot.ini
27.10.2006 08:38 43.030 stinger.txt
13.02.2006 13:36 0 L9.TST
22.11.2005 14:32 13.030 PDOXUSRS.NET
09.11.2005 12:23 142 BPInspect.log
22.06.2005 13:44 1.047.130 VV_Install.log
15.11.2004 15:11 47.564 NTDETECT.COM
15.11.2004 15:11 251.184 ntldr
15.11.2004 14:43 0 AUTOEXEC.BAT
15.11.2004 14:43 0 IO.SYS
15.11.2004 14:43 0 CONFIG.SYS
15.11.2004 14:43 0 MSDOS.SYS
02.04.2003 13:00 4.952 bootfont.bin
30.04.2001 00:42 133 kubd.bat
26 Datei(en) 571.503.547 Bytes
0 Verzeichnis(se), 12.931.330.048 Bytes frei
Seitenanfang Seitenende
09.11.2006, 13:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

winmsn32.exe

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
___________________________________________________
2.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\winmsn32*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2006, 14:10
Mikka88
...neu hier

Themenstarter

Beiträge: 9
#9 1.
2-Fehlermeldungen
1
regedit.exe- Fehler in Anwendung
Die Anwendung konnte nicht richtig initialisiert werden (0xc0000005).drücke OK....
2
Windows Script Host
Skript: C:\RegSrch.vbs
Zeile: 39
Zeichen: 3
Fehler: File not found
Code: 800A0035
Quelle: Microsoft VBScript runtime error

2.
Editor bleibt leer .....
Seitenanfang Seitenende
09.11.2006, 16:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Variante 1: falls xpantispy installiert ist, dort den Windows Script Host freischalten

Hosts freischalten - mit dem xp-antispy
Starten ==> unter "Diverse Einstellungen"
[ ] Windows Scripting Host deaktivieren
Davor den Haken wegnehmen und unten auf "Einstellungen Uebernehmen" klicken.

Variante 2: Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.11.2006, 17:36
Mikka88
...neu hier

Themenstarter

Beiträge: 9
#11 hi,
Variante 2: "Silent Terminate" hatte den Wert "0"
nach der Änderung habe ich nun folgendendes Ergebniss

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winmsn32.exe" 06-11-09 17:32:56

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"Windows sq Drivers"="winmsn32.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"Windows sq Drivers"="winmsn32.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Lsa]
"Windows sq Drivers"="winmsn32.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows sq Drivers"="winmsn32.exe"

[HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\Software\Microsoft\OLE]
"Windows sq Drivers"="winmsn32.exe"

[HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows sq Drivers"="winmsn32.exe"

[HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows sq Drivers"="winmsn32.exe"


achso,

zu 2. (Eingabeaufforderung/DOS-Ebene)
unter der Befehlszeile erscheint
"Datei nicht gefunden"

und im Texteditor erscheint nur

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

leer...
Dieser Beitrag wurde am 09.11.2006 um 17:50 Uhr von Mikka88 editiert.
Seitenanfang Seitenende
09.11.2006, 23:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Information:
http://virus-protect.org/artikel/spyware/winmsn32_windows_sq_drivers.html

___________________________________________________________________
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"Windows sq Drivers"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"Windows sq Drivers"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Lsa]
"Windows sq Drivers"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows sq Drivers"=-

[HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\Software\Microsoft\OLE]
"Windows sq Drivers"=-

[HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows sq Drivers"=-

[HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows sq Drivers"=-
***

Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein

dir /s /a "c:\msdirectx*.*" > c:\find.txt & start notepad c:\find.txt

enter - poste den text, der erscheint

»»
um den Rootkit zu finden:
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

poste das log

_______________________________________________________________

»»
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.11.2006, 13:57
Mikka88
...neu hier

Themenstarter

Beiträge: 9
#13 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE

Verzeichnis von c:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8R71OQLO

06-11-10 13:43 9,009 winmsn32_windows_sq_drivers[1].htm
1 Datei(en) 9,009 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 9,009 Bytes
0 Verzeichnis(se), 13,081,763,840 Bytes frei

,,,die Suche nach "msdirectx*.*" war erfolglos bzw. Editor leer....
LG
Seitenanfang Seitenende
10.11.2006, 14:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 um den Rootkit zu finden:
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

poste das log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.11.2006, 11:06
Mikka88
...neu hier

Themenstarter

Beiträge: 9
#15 Hi,hat ein bisi gedauert....

HKLM\SECURITY\Policy\Secrets\SAC* 04-11-15 15:06 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 04-11-15 15:06 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\uptime_time_utc 06-11-14 10:31 8 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temp\Acr91E.tmp 06-11-14 10:32 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temp\Acr920.tmp 06-11-14 10:37 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temp\Acr928.tmp 06-11-14 11:01 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP620\A0262089.exe 06-11-03 13:07 2.67 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP620\A0262115.exe 06-11-03 13:21 2.67 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP620\A0262125.exe 06-11-03 14:03 2.67 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP621\A0263269.EXE 05-08-10 13:00 260.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP622\A0265852.exe 06-11-03 04:49 1.44 MB Visible in Windows API, but not in MFT or directory index.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12