ProRat V1.9???(Trojaner,AntiVirus)

#0
15.11.2006, 19:50
...neu hier

Beiträge: 4
#1 Hallo,

nach dem googlen,habe ich festgestellt,das der Trojaner ProRat auf meinem Rechner ist(kann auch ein anders Programm sein):

ich bin sehr verzweifelt,ich habe mir mal vor 2 Wochen eine Anleitung zu C++ runtergeladen,doch erst heute geöffnet....es war schon komisch,da es eine .exe wahr,aber mein AntiVirus hatte nichts gemeldet,bis ich die Datei geöffnet habe...,da konnte ich noch eine Datei löschen die ProRat auf meine Festplatte schreiben wollte,durch AntiVirus.Aber dann war mein AntiVirus schon platt...meine Windows Firewall auch.
Die Firewall kann ich garnicht mehr starten sowie das ganze Sicherheitcenter,mit AntiVirus kann ich nur noch die Festplatten scannen,(laufende Prozesse,usw. kann ich nicht mehr scannen),da durch habe ich auch schon viele Dateien löschen können,die AntiVirus mir gemeldet hatte.

Doch 2 dateien lassen sich nicht löschen: winkey.dll und reginv.dll,auch beim Neustart oder mit dem Unlocker,Killbox,bleiben die Dateien im Windows Ordner.
Ich kann Sie umbennen,doch beim nächsten Start sind die Dateien wieder da.

Ich habe durch google.de erfahren,das ich das System neuaufsetzen soll,doch das kann ich nicht,da soviele Programme installiert sind,die ich unbedingt brauche,auch für die Arbeit,und manche kriege ich nicht wieder,es würde auch viel zu lange dauern.Deswegen helft mir bitte,so das ich das System nicht wieder neu machen muss.

Achja,habe im Internet gefunden,das ich eintragungen in der Regestry löschen muss,aber wie mache ich das?

Habe hier in anderen Foren ein bisschen rum gesucht und habe gefunden das ihr immer so ein Hijackthis wollt,habe es installiert,hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:15:57, on 15.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\services.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Googl eToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\BearShare\BearShare.exe
C:\WINDOWS\services.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Maurice\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E2DF7A557B43 2C3ACF - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Googl eToolbarNotifier.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113fd.bay113.hotmail.msn.co...s/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Danke schonmal für alle Antworten!

Mit freundlichen Grüßen

PS:Ich weiss das ich zur Zeit unsicher bin,deswegen helft mir bitte!
Seitenanfang Seitenende
15.11.2006, 20:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2006, 20:40
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo,

nummer 3 geht nicht.
Ich bin mit nummer 2 ein bisschen rum gekommen,kann sein das nicht alles in dem richtigen Namen ist.

Bitte helfe mir jetzt weiter...

MFG

Hier die Daten:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F045-2F6E

Verzeichnis von C:\WINDOWS\system32

15.11.2006 20:25 80.386 nvapps.xml
15.11.2006 20:25 20.992 reginv.dll
15.11.2006 20:25 13.312 winkey.dll

15.11.2006 16:09 8.891 jupdate-1.5.0_09-b03.log
14.11.2006 19:09 315.948 fservice.exe
14.11.2006 14:35 2.206 wpa.dbl
12.11.2006 11:19 439.004 perfh009.dat
12.11.2006 11:19 451.826 perfh007.dat
12.11.2006 11:19 76.238 perfc009.dat
12.11.2006 11:19 88.222 perfc007.dat
12.11.2006 11:19 1.030.350 PerfStringBackup.INI
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F045-2F6E

Verzeichnis von C:\WINDOWS

15.11.2006 20:29 29.163 ktd32.atm
15.11.2006 15:43 1.539.821 WindowsUpdate.log
15.11.2006 15:37 0 0.log
15.11.2006 15:37 2.048 bootstat.dat
15.11.2006 15:26 18.184 SchedLgU.Txt
15.11.2006 14:42 227 system.ini
15.11.2006 14:42 477 win.ini
15.11.2006 14:27 254.856 ntbtlog.txt
14.11.2006 19:51 312.556 setupapi.log
14.11.2006 19:21 216 wiadebug.log
14.11.2006 19:09 315.948 services.exe
14.11.2006 16:22 50 wiaservc.log
13.11.2006 17:54 39.301 DirectX.log
13.11.2006 16:55 47.791 wmsetup.log
11.11.2006 10:58 551 Qiii.INI
14.10.2006 13:28 2.041 WGA.log
13.10.2006 16:09 1.393 imsins.log
13.10.2006 16:09 504.840 iis6.log
13.10.2006 16:09 202.015 tsoc.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F045-2F6E

Verzeichnis von C:\DOKUME~1\Maurice\LOKALE~1\Temp

15.11.2006 20:30 173 jusched.log
15.11.2006 20:25 512 ~DF1769.tmp
15.11.2006 20:25 81.920 ~DF1176.tmp
15.11.2006 20:25 512 ~DFD641.tmp
15.11.2006 20:25 81.920 ~DFD639.tmp
15.11.2006 20:25 20.859 Turkish.bin
15.11.2006 20:25 20.608 Norwegian.bin
15.11.2006 20:25 21.562 Finnish.bin
15.11.2006 20:25 22.862 Czech.bin
15.11.2006 20:25 18.436 Hebrew.bin
15.11.2006 20:25 24.446 Hungarian.bin
15.11.2006 20:25 22.606 Polish.bin
15.11.2006 20:25 23.522 Portuguese(Brazil).bin
15.11.2006 20:25 15.534 SimChin.bin
15.11.2006 20:25 19.506 Arabic.bin
15.11.2006 20:25 23.467 Greek.bin
15.11.2006 20:25 20.733 Thai.bin
15.11.2006 20:25 21.773 English.bin
15.11.2006 20:25 24.654 Portuguese.bin
15.11.2006 20:25 26.062 Spanish.bin
15.11.2006 20:25 22.684 SWEDISH.bin
15.11.2006 20:25 24.638 Russian.bin
15.11.2006 20:25 25.824 Italian.bin
15.11.2006 20:25 24.274 German.bin
15.11.2006 20:25 25.665 French.bin
15.11.2006 20:25 16.913 TradChin.bin
15.11.2006 20:25 21.343 Danish.bin
15.11.2006 20:25 18.978 Korean.bin
15.11.2006 20:25 24.173 Dutch.bin
15.11.2006 20:25 22.809 Japanese.bin
11.11.2006 03:05 247 1F1205F7.TMP
31 Datei(en) 719.215 Bytes
0 Verzeichnis(se), 12.898.672.640 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F045-2F6E

Verzeichnis von C:\WINDOWS\Temp








Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F045-2F6E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.11.2006 14:09 1.230.960 ClientAX.dll
06.10.2006 17:08 65 desktop.ini
25.06.2006 11:50 1.793 erma.inf
22.06.2006 10:41 5.032 swflash.inf
10.11.2005 13:05 876 jinstall-1_5_0_06.inf
15.10.2004 07:53 110.592 PURde-xx.dll
08.10.2004 16:13 587 MSNPupld.inf
08.10.2004 16:01 372.736 MsnPUpld.dll
22.09.2004 15:59 110.592 PURen-us.dll
03.06.2002 17:53 144 QTPlugin.inf
10 Datei(en) 1.833.377 Bytes
0 Verzeichnis(se), 12.898.668.544 Bytes frei








Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F045-2F6E

Verzeichnis von C:\

15.11.2006 20:33 0 sys.txt
15.11.2006 20:33 750 down.txt
15.11.2006 20:32 117 tmp.txt
15.11.2006 20:32 8.375 system.txt
15.11.2006 20:31 1.769 systemtemp.txt
15.11.2006 20:31 98.845 system32.txt
15.11.2006 15:37 704.643.072 pagefile.sys
15.11.2006 14:42 211 boot.ini
15.11.2006 14:16 232 sqmdata18.sqm
15.11.2006 14:16 244 sqmnoopt18.sqm
15.11.2006 14:16 232 sqmdata17.sqm
15.11.2006 14:16 244 sqmnoopt17.sqm
14.11.2006 19:46 268 sqmdata16.sqm
14.11.2006 19:46 244 sqmnoopt16.sqm
13.11.2006 16:20 244 sqmnoopt15.sqm
13.11.2006 16:20 232 sqmdata15.sqm
13.11.2006 16:20 232 sqmdata14.sqm
13.11.2006 16:20 244 sqmnoopt14.sqm
11.11.2006 16:48 244 sqmnoopt13.sqm
11.11.2006 16:48 232 sqmdata13.sqm
11.11.2006 16:41 232 sqmdata12.sqm
11.11.2006 16:41 244 sqmnoopt12.sqm
11.11.2006 16:34 244 sqmnoopt11.sqm
11.11.2006 16:34 232 sqmdata11.sqm
11.11.2006 16:34 244 sqmnoopt10.sqm
11.11.2006 16:34 232 sqmdata10.sqm
11.11.2006 16:33 232 sqmdata09.sqm
11.11.2006 16:33 244 sqmnoopt09.sqm
11.11.2006 16:33 232 sqmdata08.sqm
11.11.2006 16:33 244 sqmnoopt08.sqm
06.11.2006 13:45 232 sqmdata07.sqm
06.11.2006 13:45 244 sqmnoopt07.sqm
06.11.2006 13:45 232 sqmdata06.sqm
06.11.2006 13:45 244 sqmnoopt06.sqm
06.11.2006 13:44 244 sqmnoopt05.sqm
06.11.2006 13:44 232 sqmdata05.sqm
06.11.2006 13:44 244 sqmnoopt04.sqm
06.11.2006 13:44 232 sqmdata04.sqm
06.11.2006 13:43 232 sqmdata03.sqm
06.11.2006 13:43 244 sqmnoopt03.sqm
06.11.2006 13:43 232 sqmdata02.sqm
06.11.2006 13:43 244 sqmnoopt02.sqm
06.11.2006 13:43 244 sqmnoopt01.sqm
06.11.2006 13:43 232 sqmdata01.sqm
06.11.2006 13:43 232 sqmdata00.sqm
06.11.2006 13:43 244 sqmnoopt00.sqm
06.11.2006 13:43 232 sqmdata19.sqm
06.11.2006 13:43 244 sqmnoopt19.sqm
06.10.2006 17:10 0 CONFIG.SYS
06.10.2006 17:10 0 MSDOS.SYS
06.10.2006 17:10 0 IO.SYS
06.10.2006 17:10 0 AUTOEXEC.BAT
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
55 Datei(en) 705.066.395 Bytes
0 Verzeichnis(se), 12.898.648.064 Bytes frei




Danke.
Seitenanfang Seitenende
15.11.2006, 21:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 muris007

geht nicht - warum ??? - Fehlermeldung ???
http://virus-protect.org/winpfind.html

versuche es mit silentrunner
http://virus-protect.org/silentrunner.html

--------------------------------------------------------------

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

fservice.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

---------------------------------------------------------
ist fuer mich

Zitat

Files to delete:
C:\WINDOWS\Downloaded Program Files\ClientAX.dll
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\services.exe
C:\WINDOWS\ktd32.atm

Folders to delete:
c:\programme\zango

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E2DF7A557B43 2C3ACF - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll

O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 16:25
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo,


man konnte nichts einfügen,es kam aber ne .txt Datei.


Die hier:


"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"zango" = ""c:\programme\zango\zango.exe"" ["Zango, Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system\sservice.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{56F1D444-11BF-4879-A12B-79CF0177F038}\(Default) = "Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E2DF7A557B432C3ACF"
-> {HKLM...CLSID} = "Zango Search Assistant Helper"
\InProcServer32\(Default) = "c:\programme\zango\zangohook.dll" ["Zango, Inc."]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.0.0812.00.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Shell" = "Explorer.exe C:\WINDOWS\system32\fservice.exe" [MS], [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Maurice\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Messenger Sharing USN Journal Reader-Service, usnsvc, "C:\WINDOWS\system32\svchost.exe -k usnsvc" {"C:\Programme\MSN Messenger\usnsvc.dll" [MS]}




Was soll ich jetzt machen?
Welche Dateien soll ich löschen?
Sicher das man die service.exe löschen darf?
winkey.dll,reginv.dll lassen sich nicht löschen,und wenn doch kommen die wieder.

MfG

Bitte um hilfe!!!
Seitenanfang Seitenende
16.11.2006, 17:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich muss jetzt leider weg, und bin erst heute abend wieder online, dann gibt es neue Anweisungen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 17:13
...neu hier

Themenstarter

Beiträge: 4
#7 Danke!
Gucke um 20 Uhr wieder rein.
Seitenanfang Seitenende
17.11.2006, 01:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1-
Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - fservice.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe -> loeschen

bearbeiten - suchen - sservice.exe

HKLM\Software\Microsoft\Active Setup\Installed Components\
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\ -> loeschen
\StubPath = "C:\WINDOWS\system\sservice.exe"

und alles andere, was du noch findest.


aufpassen: wenn du zum Schluessel kommst:
Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
darfst du nur C:\WINDOWS\system32\fservice.exe ausloeschen aber nicht mehr !!!
wenn du es dir nicht zutraust, lasse es und fixe es dann mit hijackThis - siehe unten

________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\Downloaded Program Files\ClientAX.dll
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\services.exe
C:\WINDOWS\ktd32.atm

Folders to delete:
c:\programme\zango
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

----------------------------------

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe

O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E2DF7A557B43 2C3ACF - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll

O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
---------------------------------------------------------------------------
««
klicke dich durch zum Schlüssel:

HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings

oben links auf "exportieren" klicken und die Datei als update.txt abspeichern - auf dem Desktop, dann klicke dit txt-Datei doppelt und poste den Text hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: