Der Wurm ist drin

#0
13.02.2007, 18:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 kopiere sie hier, damit ich sie sehen kann ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.02.2007, 20:44
Member

Themenstarter

Beiträge: 262
#32 Verzeichnis von C:\Windows\tasks

10.07.2002 20:15 <DIR> .
10.07.2002 20:15 <DIR> ..
12.02.2007 13:49 412 Symantec NetDetect.job
11.02.2007 20:55 398 FRU Task #Hewlett-Packard#hp psc 2200 series#1074196461.job
2 Datei(en) 810 Bytes
2 Verzeichnis(se), 63.065.112.576 Bytes frei
C:\Dokumente und Einstellungen\Suzan Shalabi\Startmenü\Programme\Autostart"
C:\Dokumente und Einstellungen\Suzan Shalabi\Startmenü\Programme"


Das ist der untere Teil vom Gesamttext
Gruss
Seitenanfang Seitenende
13.02.2007, 23:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 im Normalmodus

RunThis.bat doppelt klicken
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip

reinschreiben: 1

1 : es wird a-squared geladen

a-squared

1. update
2. full scan
3. full scan (heuristic/riskware scanning enabled) - scanne
4. save quarantine list

poste den scanreport ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 12:08
Member

Themenstarter

Beiträge: 262
#34 Logfile of HijackThis v1.99.1
Scan saved at 12:08:11, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Suzan Shalabi\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
Seitenanfang Seitenende
14.02.2007, 12:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 RunThis.bat doppelt klicken
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip

reinschreiben: 1

1 : es wird a-squared geladen

a-squared

1. update
2. full scan
3. full scan (heuristic/riskware scanning enabled) - scanne
4. save quarantine list

poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 12:32
Member

Themenstarter

Beiträge: 262
#36 SDFix: Version 1.65

Run by: Administrator - 14.02.2007 @ 12:24:29,73

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Kazaa\\kazaa.exe"="C:\\Programme\\Kazaa\\kazaa.exe:*:Enabled:Kazaa"
"C:\\Programme\\eMule.co.il\\eMule.exe"="C:\\Programme\\eMule.co.il\\eMule.exe:*:Enabled:eMule"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\Suzan Shalabi\Desktop\Eigene Dateien\perlen.com\Thumbs.db
C:\WINDOWS\system32\McIDENT.DLL
C:\WINDOWS\system32\SpDOCVW.DLL
C:\WINDOWS\system32\UhLMON.DLL
C:\WINDOWS\system32\SvLWAPI.DLL
C:\NEUWIN\LastGood.Tmp\INF\oem11.inf
C:\NEUWIN\LastGood.Tmp\INF\oem11.PNF
C:\NEUWIN\LastGood.Tmp\INF\dureg.inf
C:\NEUWIN\LastGood.Tmp\INF\dureg.PNF
C:\Dokumente und Einstellungen\Owner\Eigene Dateien\suzan\~WRL1710.tmp
C:\Dokumente und Einstellungen\Owner.ORGANISA-711200\Lokale Einstellungen\Temp\ZTR41.tmp
C:\Dokumente und Einstellungen\Suzan Shalabi\Anwendungsdaten\Roxio\Dragon\DiscInfoCache\TOSHIBA__DVD-ROM_SD-M1612_1004_300_DICV018_DRGV20100BC.TMP
C:\Dokumente und Einstellungen\Suzan Shalabi\Eigene Dateien\suzan\~WRL0503.tmp
C:\~QTWTMP.TMP\QTINSTAL.GID

Finished



Das ist erstmal - im Abgesicherten Modus
Seitenanfang Seitenende
14.02.2007, 13:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 0.
L2mfix - Option 2 anwenden - poste nach neustart den scanreport
http://virus-protect.org/l2mfix.html

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Suzan Shalabi\Startmenü\Programme\Autostart\Virtual Bouncer.lnk
C:\WINDOWS\system32\McIDENT.DLL
C:\WINDOWS\system32\SpDOCVW.DLL
C:\WINDOWS\system32\UhLMON.DLL
C:\WINDOWS\system32\SvLWAPI.DLL
C:\Dokumente und Einstellungen\Owner.ORGANISA-711200\Lokale Einstellungen\Temp\ZTR41.tmp
C:\Dokumente und Einstellungen\Suzan Shalabi\Eigene Dateien\suzan\~WRL0503.tmp

2.
IM NORMALMODUS ;) - (kein abges.Modus...........)

RunThis.bat doppelt klicken
http://virus-protect.org/artikel/tools/sdfix.html
reinschreiben: 1

1 : es wird a-squared geladen

a-squared

1. update
2. full scan
3. full scan (heuristic/riskware scanning enabled) - scanne
4. save quarantine list

poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 13:42
Member

Themenstarter

Beiträge: 262
#38 Im normalen Modus
3. full scan (heuristic/riskware scanning enabled) - scanne

---------
Logfile of HijackThis v1.99.1
Scan saved at 13:41:51, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Suzan Shalabi\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
Seitenanfang Seitenende
14.02.2007, 13:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 warum postest du staendig das log vom HijackThis ???
bitte fuehre aus, was ich schreibe.
(siehe oben)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 15:15
Member

Themenstarter

Beiträge: 262
#40 Hallo
Ich weiss, ich versuche ja, aber das problem ist, er scannt lange Zeit und wenn er fertig ist wird das schwarze Dos Fenster einfach geschlossen. Somit kann ich keinen Bericht kopieren und senden.
Wo finde ich den Scan Report ?
Seitenanfang Seitenende
14.02.2007, 17:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 alos noch mal von vorn - in Scheibchen ;)

L2mfix - Option 2 anwenden - poste nach neustart den scanreport
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 17:37
Member

Themenstarter

Beiträge: 262
#42 Hallo Sabina
Nun bin ich wieder am Rechner und habe Zeit.
Ganz in Ruhe !

Ich habe l2mfix laufen lassen

L2MFIX find log 051206
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"sv1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:
Locate .tmp files:
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2765-140C

Verzeichnis von C:\WINDOWS\System32

30.06.2004 16:15 316.776 UhLMON.DLL
30.06.2004 16:15 316.776 McIDENT.DLL
30.06.2004 16:15 316.776 SpDOCVW.DLL
30.06.2004 16:15 316.776 SvLWAPI.DLL

11.07.2002 17:52 <DIR> Microsoft
10.07.2002 20:00 <DIR> dllcache
4 Datei(en) 1.267.104 Bytes
2 Verzeichnis(se), 65.510.244.352 Bytes frei


Bitte schön
Wir schaffen das schon
Gruss
Seitenanfang Seitenende
14.02.2007, 17:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 das war option 1 ? wende bitte nach anleitung option 2 an und poste nach neustart den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 17:52
Member

Themenstarter

Beiträge: 262
#44 Ich gebe die Zahl 2 ein dann öffnet sich ein Fenster:

C:\Windows\System32\cmd.exe
C:\Programm...1\Synamtec\S32EVNT1.dll
Die Initialisierung der DLL für ein instalierbarenvirtellen Gerätetreiber ist fehlgeschlagen klicke auf schliessen
Ich drücke auf schliessen

Ge4bensie ein Kennwort für l2mfix ein
Seitenanfang Seitenende
14.02.2007, 17:54
Member

Themenstarter

Beiträge: 262
#45 Es taucht unten rechts ständig diese Nachricht auf

Wenig Speicherplatz...
Seitenanfang Seitenende