Trojaner Tp/psw.pdpi.ct.1.d

#1 Hallo Leute,

habe den Virus wie oben im Titel beschrieben drauf.
(Mit Antivir durchgeführt)
Die Datei System§2/lanmiu.dll wurde als fehlerhaft beschrieben.
Mit Antivir ging er nicht weg.
Mit Spybot habe ich 3 Objekte gelöscht.
Kaspersky hat den Virus gelöscht, auch andere
Anbei das HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 01:01:19, on 21.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Kann jemand bitte mal nachschauen, ob alles schon sauber ist?


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Intel\Modem Event Monitor\IntelMEM.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\WINDOWS\inet20116\schedule.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
F3 - REG:win.ini: load=C:\WINDOWS\inet20116\services.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20116\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelMeM] C:\Programme\Intel\Modem Event Monitor\IntelMEM.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [msci] C:\DOKUME~1\WEGEIN~1\LOKALE~1\Temp\200551920560_mcinfo.exe /insfin
O4 - HKLM\..\Run: [Microsoft sheduler] C:\WINDOWS\inet20116\schedule.exe
O4 - HKLM\..\Run: [dmier.exe] C:\WINDOWS\system32\dmier.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20116\services.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73E6F940-9655-4A78-A3A5-7595161C7509}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EAAE52B-4B83-4E80-AD1F-6C751474F449}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.155
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.155
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe

#2 assgardt

1.
poste dieses log

http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

2.
scanne und poste das log
http://virus-protect.org/artikel/tools/fixwareout.html

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

5.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\inet20116" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

danke für die schnelle Antwort.
Ich finde nur die Datei FSB*.TXT nicht.
Es ist nach dem 2. Lauf aber eine dll im Ordner Blacklight.
??

#4 dann lass das erst mal, obwohl ich nicht verstehe, dass du die txt-Datei nicht findest, sie erscheint normalerweise auf dem Desktop, nicht im Ordner von blacklight.
arbeite alles weitere ab und poste die logs.
deine Internetverbindung wird auf einen server in die ukraine umgeleitet
Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.155
- ich brauche alle logs, um den wareout zu finden
__________
MfG Sabina

rund um die PC-Sicherheit

#5

Zitat

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Random Runs removed from HKLM
"dmier.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Hi Sabina,

anbei die Daten der

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSLBK.EXE 51.787 2006-10-10
C:\WINDOWS\SYSTEM32\DMZUY.EXE 61.021 2004-08-17

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

Zitat

Verzeichnis von C:\WINDOWS\inet20116

21.11.2006 01:11 <DIR> .
21.11.2006 01:11 <DIR> ..
20.11.2006 23:20 51.712 free.exe
19.11.2006 14:44 51.712 free.exe.bak
21.11.2006 01:11 <DIR> gif
20.11.2006 23:19 2.560 killer.exe
19.11.2006 14:43 2.560 killer.exe.bak
20.11.2006 23:19 4 mm.pid
12.11.2006 19:21 18.944 schedule.exe
10.11.2006 19:11 18.944 schedule.exe.bak
19.11.2006 13:56 <DIR> www.google.com
7 Datei(en) 146.436 Bytes
4 Verzeichnis(se), 15.962.181.632 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\Dokumente und Einstellungen\WegeIngmar\Lokale Einstellungen\Temporary Internet Files\Content.IE5

21.11.2006 03:07 540.672 index.dat
1 Datei(en) 540.672 Bytes
0 Verzeichnis(se), 15.962.177.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\Dokumente und Einstellungen\WegeIngmar\Lokale Einstellungen\Temp

21.11.2006 02:36 <DIR> .
21.11.2006 02:36 <DIR> ..
21.11.2006 00:25 <DIR> 01083070
20.11.2006 23:55 36.957 caevents.log
04.10.2006 09:23 668 datFind.bat
21.11.2006 01:33 <DIR> F-Secure
21.11.2006 00:22 618 jusched.log
21.11.2006 00:08 533 pcf1.tmp
4 Datei(en) 38.776 Bytes
4 Verzeichnis(se), 15.962.177.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\WINDOWS\Temp

21.11.2006 03:07 <DIR> .
21.11.2006 03:07 <DIR> ..
19.11.2006 14:43 <DIR> 01083070
21.11.2006 00:10 16.384 Perflib_Perfdata_714.dat
21.11.2006 00:05 16.384 Perflib_Perfdata_72c.dat
20.11.2006 23:19 16.384 Perflib_Perfdata_780.dat
21.11.2006 00:08 16.384 Perflib_Perfdata_ac.dat
21.11.2006 00:33 32.768 PR15.tmp
21.11.2006 00:10 255 WGAErrLog.txt
21.11.2006 00:11 409 WGANotify.settings
7 Datei(en) 98.968 Bytes
3 Verzeichnis(se), 15.962.177.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\Temp

19.11.2006 14:24 <DIR> .
19.11.2006 14:24 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 15.962.177.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\Windows\tasks

Zitat

Hi Sabina,

anbei die Ergebnisse von datfind.bat

MFG Assgardt


//-----------------------------------------------------------------------
lumeseriennummer: 98D3-6702

Verzeichnis von C:\WINDOWS\SYSTEM32

21.11.2006 00:10 2.422 WPA.DBL
21.11.2006 00:08 3.092 ps.a3d
01.11.2006 17:42 94.314 klogon.dll
29.10.2006 12:33 383.126 PERFH009.DAT
29.10.2006 12:33 394.348 PERFH007.DAT
29.10.2006 12:33 54.276 PERFC009.DAT
29.10.2006 12:33 65.340 PERFC007.DAT
29.10.2006 12:33 907.590 PerfStringBackup.INI
10.10.2006 20:06 51.787 cslbk.exe
03.10.2006 15:06 0 ksl48.bin
13.09.2006 14:43 2.953 CONFIG.NT
12.08.2006 11:20 57 MAPISVC.INF
12.08.2006 11:16 57.007 DeIsL1.isu
12.08.2006 11:10 44 msssc.dll
08.08.2006 18:54 142.032 FNTCACHE.DAT
08.08.2006 18:53 22.080 $winnt$.inf
08.08.2006 18:47 16.832 amcompat.tlb
08.08.2006 18:47 23.392 nscompat.tlb
08.08.2006 18:46 488 WindowsLogon.manifest
08.08.2006 18:46 488 logonui.exe.manifest
08.08.2006 18:45 749 cdplayer.exe.manifest
08.08.2006 18:45 749 sapi.cpl.manifest
08.08.2006 18:45 749 nwc.cpl.manifest
08.08.2006 18:45 749 wuaucpl.cpl.manifest
08.08.2006 18:45 749 ncpa.cpl.manifest
08.08.2006 18:44 23.588 emptyregdb.dat
08.08.2006 18:33 496 OEMINFO.INI
07.07.2006 02:21 6.757.792 MRT.exe
19.06.2006 15:20 702.768 WgaLogon.dll
19.06.2006 15:19 571.184 LegitCheckControl.dll
19.06.2006 15:19 304.944 WgaTray.exe
11.05.2006 09:57 27.136 xpsp3res.dll
17.03.2006 01:38 28.672 verclsid.exe

//-----------------------------------------------------------------------
Verzeichnis von C:\DOKUME~1\WEGEIN~1\LOKALE~1\Temp

21.11.2006 00:22 618 jusched.log
21.11.2006 00:08 533 pcf1.tmp
20.11.2006 23:55 36.957 caevents.log
04.10.2006 09:23 668 datFind.bat
4 Datei(en) 38.776 Bytes
0 Verzeichnis(se), 15.962.365.952 Bytes frei

//-----------------------------------------------------------------------
Verzeichnis von C:\WINDOWS

21.11.2006 02:31 489.046 WindowsUpdate.log
21.11.2006 00:10 0 0.LOG
21.11.2006 00:10 159 WIADEBUG.LOG
21.11.2006 00:10 50 WIASERVC.LOG
21.11.2006 00:10 2.048 BOOTSTAT.DAT
21.11.2006 00:09 32.638 SchedLgU.Txt
20.11.2006 23:48 278 SYSTEM.INI
19.11.2006 14:10 54.272 ginstall.dll
12.11.2006 19:22 623 WIN.INI
12.11.2006 18:18 7.346 msim_evl.ini
10.11.2006 18:48 581 DHCPUPG.LOG
10.11.2006 18:48 416 WINNT32.LOG
04.11.2006 11:35 534.855.680 MEMORY.DMP
03.11.2006 21:24 326.390 setupapi.log
27.10.2006 22:40 32 msim.ini
27.10.2006 22:40 6.688 movexe.exe
27.10.2006 22:36 36 ACROREAD.INI
10.09.2006 13:47 365.652 OCGEN.LOG
10.09.2006 13:47 33.029 MSGSOCM.LOG
10.09.2006 13:47 36.349 OCMSN.LOG
10.09.2006 13:46 259.946 TSOC.LOG
10.09.2006 13:46 1.642 imsins.log
10.09.2006 13:46 711.091 FaxSetup.log
10.09.2006 13:45 920 iis6.log
12.08.2006 11:24 154.849 ntdtcsetup.log
12.08.2006 11:24 251.961 COMSETUP.LOG
12.08.2006 11:24 91.418 iis6.BAK
12.08.2006 11:24 4.566 imsins.BAK
12.08.2006 11:21 84.775 WMSETUP.LOG
12.08.2006 11:08 3.908 ModemLog_Intel(R) 537EP V9x DF PCI Modem.txt


//-----------------------------------------------------------------------

Verzeichnis von C:\WINDOWS\Temp

21.11.2006 00:33 32.768 PR15.tmp
21.11.2006 00:11 409 WGANotify.settings
21.11.2006 00:10 255 WGAErrLog.txt
21.11.2006 00:10 16.384 Perflib_Perfdata_714.dat
21.11.2006 00:08 16.384 Perflib_Perfdata_ac.dat
21.11.2006 00:05 16.384 Perflib_Perfdata_72c.dat
20.11.2006 23:19 16.384 Perflib_Perfdata_780.dat
7 Datei(en) 98.968 Bytes
0 Verzeichnis(se), 15.961.960.448 Bytes frei

//-----------------------------------------------------------------------
Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.08.2006 18:46 65 DESKTOP.INI
25.01.2004 13:43 1.087 qdiagcc.inf
08.12.2003 12:58 3.759 swflash.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
4 Datei(en) 6.073 Bytes
0 Verzeichnis(se), 15.961.956.352 Bytes frei

//-----------------------------------------------------------------------
Verzeichnis von C:\

21.11.2006 02:59 0 sys.txt
21.11.2006 02:56 117.252 dirdat.txt
21.11.2006 02:53 465 down.txt
21.11.2006 02:53 627 tmp.txt
21.11.2006 02:53 10.072 system.txt
21.11.2006 02:53 440 systemtemp.txt
21.11.2006 02:52 104.991 system32.txt
21.11.2006 00:10 534.827.008 hiberfil.sys
21.11.2006 00:10 805.306.368 pagefile.sys
12.11.2006 19:22 211 boot.ini
03.11.2006 21:38 30.564 coffinfo.txt
02.11.2006 17:34 5.120 explorer1.exe
27.10.2006 22:40 83 search.log
22.10.2006 16:22 134 TO_InstallLog.txt
08.08.2006 18:35 4.128 INFCACHE.1
25.02.2006 00:18 279 dlbt.log

__________
MfG Sabina

rund um die PC-Sicherheit

#6 1.
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\explorer1.exe
C:\Windows\movexe.exe

poste den report (hier, nicht per PM, bitte)


2.
da du mir nicht das log vom blacklight postest und ich den rootkit vom Haxdoor finden muss, scanne und poste dieses log

RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,

weiß zwar nicht genau was ich da tun soll,
habe aber explorer1.exe und movexe.exe bei Virustotal eingegeben
mit folgendem Ergebnis:

Was bedeuten die Fettgedruckten Einträge?
Sollen diese gelöscht werden?

//------------------------------------------------------------------------
explorer1.exe:

STATUS: FINISHEDComplete scanning result of "explorer1.exe", received in VirusTotal at 11.21.2006, 14:21:12 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.21.2006 TR/Dldr.Femad.C.1
Authentium 4.93.8 11.20.2006 no virus found
Avast 4.7.892.0 11.20.2006 no virus found
AVG 386 11.20.2006 no virus found
BitDefender 7.2 11.21.2006 Trojan.Downloader.Femad.C
CAT-QuickHeal 8.00 11.20.2006 no virus found
ClamAV devel-20060426 11.21.2006 no virus found
DrWeb 4.33 11.21.2006 Trojan.DownLoader.14628
eSafe 7.0.14.0 11.20.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.62 11.21.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 no virus found
Ewido 4.0 11.21.2006 no virus found
Fortinet 2.82.0.0 11.21.2006 no virus found
F-Prot 3.16f 11.20.2006 no virus found
F-Prot4 4.2.1.29 11.20.2006 no virus found
Ikarus 0.2.65.0 11.21.2006 no virus found
Kaspersky 4.0.2.24 11.21.2006 no virus found
McAfee 4900 11.20.2006 no virus found
Microsoft 1.1804 11.21.2006 no virus found
NOD32v2 1875 11.21.2006 probably a variant of Win32/TrojanDownloader.Small.AMB
Norman 5.80.02 11.21.2006 no virus found
Panda 9.0.0.4 11.20.2006 Trj/Alanchum.JI
Prevx1 V2 11.21.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.122 11.21.2006 no virus found
UNA 1.83 11.20.2006 no virus found
VBA32 3.11.1 11.21.2006 Trojan.DownLoader.14628
VirusBuster 4.3.15:9 11.20.2006 no virus found


Aditional Information
File size: 5120 bytes
MD5: 404a38e74de0b3ef517a4b5ac4a8338f
SHA1: 2dad87ac0c64ffd41279aefe0aa143a273469280
packers: UPX
packers: UPX
packers: UPX

//---------------------------------------------------------
movexe.exe

Antivirus Version Update Result
AntiVir 7.2.0.39 11.21.2006 no virus found
Authentium 4.93.8 11.20.2006 no virus found
Avast 4.7.892.0 11.20.2006 no virus found
AVG 386 11.20.2006 no virus found
BitDefender 7.2 11.21.2006 no virus found
CAT-QuickHeal 8.00 11.20.2006 no virus found
ClamAV devel-20060426 11.21.2006 no virus found
DrWeb 4.33 11.21.2006 no virus found
eSafe 7.0.14.0 11.20.2006 no virus found
eTrust-InoculateIT 23.73.62 11.21.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 no virus found
Ewido 4.0 11.21.2006 no virus found
Fortinet 2.82.0.0 11.21.2006 no virus found
F-Prot 3.16f 11.20.2006 no virus found
F-Prot4 4.2.1.29 11.20.2006 no virus found
Ikarus 0.2.65.0 11.21.2006 no virus found
Kaspersky 4.0.2.24 11.21.2006 no virus found
McAfee 4900 11.20.2006 no virus found
Microsoft 1.1804 11.21.2006 no virus found
NOD32v2 1875 11.21.2006 no virus found
Norman 5.80.02 11.21.2006 no virus found


Aditional Information
File size: 6688 bytes
MD5: 49727e360bdc880f8c684d145fb16c3a
SHA1: 0b3f93269e4e5201ca4a626c91ce4a3ef983aed6
//------------------------------------------------------------------------
Post von RootkitRevealer

HKLM\SECURITY\Policy\Secrets\SAC* 19.8.2004 02:38 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 19.8.2004 02:38 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol 9.2.2005 21:30 13 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\c9c.D1114F8801C70D79.history\00000000.bak 21.11.2006 15:34 3.33 MB Hidden from Windows API.

#8 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lannui
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\lannui.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\lannui.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\lannui.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\lannui.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lannui.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\lannui.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LANNUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmui
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmui
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmui
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmui

Files to delete:
C:\explorer1.exe
C:\WINDOWS\Temp\PR15.tmp
C:\WINDOWS\ginstall.dll
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\pcf1.tmp
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\200551920560_mcinfo.exe
C:\WINDOWS\SYSTEM32\DMZUY.EXE
C:\WINDOWS\SYSTEM32\dmier.exe
C:\WINDOWS\SYSTEM32\ps.a3d
C:\WINDOWS\SYSTEM32\cslbk.exe
C:\WINDOWS\SYSTEM32\ksl48.bin
c:\WINDOWS\system32\klgcptini.dat
c:\WINDOWS\system32\stt82.ini
c:\WINDOWS\system32\lanmui.dll
c:\WINDOWS\system32\lannui.sys
c:\WINDOWS\system32\qz.dll
c:\WINDOWS\system32\qz.sys

Folders to delete:
C:\WINDOWS\Temp\01083070
C:\WINDOWS\inet20116

- Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F3 - REG:win.ini: load=C:\WINDOWS\inet20116\services.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20116\services.exe

O4 - HKLM\..\Run: [msci] C:\DOKUME~1\WEGEIN~1\LOKALE~1\Temp\200551920560_mcinfo.exe /insfin

O4 - HKLM\..\Run: [Microsoft sheduler] C:\WINDOWS\inet20116\schedule.exe

O4 - HKLM\..\Run: [dmier.exe] C:\WINDOWS\system32\dmier.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20116\services.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{73E6F940-9655-4A78-A3A5-7595161C7509}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EAAE52B-4B83-4E80-AD1F-6C751474F449}: NameServer = 85.255.113.142,85.255.112.155
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.155
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.155
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.142 85.255.112.155

PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi Sabina,

der Virus ist noch da.
Bei Hochfahren kommt eine Meldung, dass er 20116 nicht starten kann???
inet20116 ist bei Hijackthis auch nach dem fixen noch da.
Anbei der Report :

Logfile of HijackThis v1.99.1
Scan saved at 14:22:26, on 22.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Intel\Modem Event Monitor\IntelMEM.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
F3 - REG:win.ini: run=C:\WINDOWS\inet20116\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelMeM] C:\Programme\Intel\Modem Event Monitor\IntelMEM.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20116\services.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe






//-----------------------------------------------

SUPERAntiSpyware Scan Log
Generated 11/22/2006 at 01:50 PM

Application Version : 3.3.1020

Core Rules Database Version : 3134
Trace Rules Database Version: 1151

Scan type : Complete Scan
Total Scan Time : 00:23:58

Memory items scanned : 373
Memory Thread detected : 0
Registry items scanned : 5334
Registry Thread detected : 37
File items scanned : 30302
File Thread detected : 9

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\WegeIngmar\Cookies\wegeingmar@click_track[2].txt
C:\Dokumente und Einstellungen\WegeIngmar\Cookies\wegeingmar@indextools[2].txt
C:\Dokumente und Einstellungen\WegeIngmar\Cookies\wegeingmar@serving-sys[1].txt

Trojan.DELF-NJ
HKCR\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
HKCR\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}#ThreadingModel
HKCR\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}\InprocServer32
HKCR\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}\InprocServer32#ThreadingModel

Browser Hijacker.Glotka
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}\InprocServer32
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}\InprocServer32#ThreadingModel
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}\ProgID
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}\Programmable
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}\TypeLib
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}\VersionIndependentProgID
HKCR\Bho_html.edit_html
HKCR\Bho_html.edit_html\CLSID
HKCR\Bho_html.edit_html\CurVer
HKCR\Bho_html.edit_html.1
HKCR\Bho_html.edit_html.1\CLSID
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}\1.0
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}\1.0\0
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}\1.0\0\win32
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}\1.0\FLAGS
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}\1.0\HELPDIR
HKCR\Interface\{14D1A72C-8705-11D8-B120-0040F46CB696}
HKCR\Interface\{14D1A72C-8705-11D8-B120-0040F46CB696}\ProxyStubClsid
HKCR\Interface\{14D1A72C-8705-11D8-B120-0040F46CB696}\ProxyStubClsid32
HKCR\Interface\{14D1A72C-8705-11D8-B120-0040F46CB696}\TypeLib
HKCR\Interface\{14D1A72C-8705-11D8-B120-0040F46CB696}\TypeLib#Version
HKU\S-1-5-21-1055384950-2971332057-1232219445-1006\Software\fid

Trojan.Haxdoor-P79
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb#Type
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb#Start
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb#ErrorControl
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb#ImagePath
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb#DisplayName
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb\Security
HKLM\SYSTEM\CurrentControlSet\Services\p79bsksb\Security#Security

Trojan.Spam-BrazUA/Resident
HKLM\Software\Microsoft\Windows\CurrentVersion\Run#xp_system [ C:\WINDOWS\inet20116\services.exe ]

Trojan.Downloader-INET/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0000008.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0000044.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0002238.EXE

Trojan.Services/Inet
C:\SYSTEM VOLUME INFORMATION\_RESTORE{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0002044.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0002142.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0002236.EXE

#10 Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

p79bsksb

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

inet20116

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

xp_system

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina,

anbei die posts:

//-------------------------------------------------------
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "p79bsksb" 22.11.2006 17:10:16

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem21]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\p79bsksb"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem22]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\p79bsksb"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem23]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\p79bsksb"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem24]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\p79bsksb"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem25]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\p79bsksb"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem26]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\p79bsksb\\Security"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem27]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\p79bsksb\\Security"
//---------------------------------------------------------------------
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "inet2011" 22.11.2006 17:12:39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="C:\\WINDOWS\\inet20116\\services.exe"

[HKEY_USERS\S-1-5-21-1055384950-2971332057-1232219445-1006\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="C:\\WINDOWS\\inet20116\\services.exe"
//---------------------------------------------------------------

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "xp_system" 22.11.2006 17:14:15

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="C:\\WINDOWS\\inet20116\\services.exe"

MFG Assgardt

#12 Gehe in die registry
Start - Ausfuehren - regedit

oben links: bearbeiten - suchen - eingeben: inet20116

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="C:\\WINDOWS\\inet20116\\services.exe" -> loeschen

[HKEY_USERS\S-1-5-21-1055384950-2971332057-1232219445-1006\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="C:\\WINDOWS\\inet20116\\services.exe" - loeschen

---------------------
fixe mit dem HijackThis

Zitat

F3 - REG:win.ini: run=C:\WINDOWS\inet20116\services.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20116\services.exe

PC neustarten

»»
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi Sabina,

inet20110 ist leider immer noch da.
Anbei das HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:30:26, on 22.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Intel\Modem Event Monitor\IntelMEM.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
F3 - REG:win.ini: run=C:\WINDOWS\inet20116\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelMeM] C:\Programme\Intel\Modem Event Monitor\IntelMEM.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20116\services.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe

#14 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als lis.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die lis.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\inet20116" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi Sabina,

DOS meldet,dass ess Inet20116 nicht finden kann.
Das klingt somit schon mal positiv.

anbei die datei:
MFG

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\WINDOWS

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98D3-6702

Verzeichnis von C:\WINDOWS