Home » Spyware & Browser Hijacker Support Forum » Internetexplorer startet automatisch Popups » Themenansicht

Internetexplorer startet automatisch Popups
#0
23.03.2007, 15:55
drumdrum
...neu hier

Beiträge: 6
#1 Hallo erstmal,

der Internetexplorer macht mir seit drei Tagen Probleme. Nach einem Neutrart des Rechners startet der IE nach ein paar Minuten automatisch mit mehrern popups.

Ich hoffe jemand von euch kann mir weiterhelfen.

Hir das hijackthis.log :

Logfile of HijackThis v1.99.1
Scan saved at 15:19:41, on 23.03.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\gearsec.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINNT\system32\CTHELPER.EXE
C:\WINNT\system32\internat.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Gemeinsame Dateien\Ravisent Shared\cinetray.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Opera\Opera.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O4 - Global Startup: Cinetray.lnk = C:\Programme\Gemeinsame Dateien\Ravisent Shared\cinetray.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167335337062
O17 - HKLM\System\CCS\Services\Tcpip\..\{874DDC10-1A66-4013-B192-C12FE97B3951}: NameServer = 192.168.11.2
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: gearsec - GEAR Software - C:\WINNT\system32\gearsec.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
Seitenanfang Seitenende
25.03.2007, 12:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 drumdrum

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2007, 02:40
drumdrum
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina hier is es:

"x" - Mo 26.03.2007 2:28:50 Service Pack 4
ComboFix 07-03-23 - Running from: "C:\WINNT\system32"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\taskmgr.com
C:\WINNT\regedit.com
C:\WINNT\logo1_.exe


((((((((((((((((((((((((((((((( Files Created from 2007-02-26 to 2007-03-26 ))))))))))))))))))))))))))))))))))


2007-03-26 02:34 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_368.dat
2007-03-23 15:48 <DIR> d-------- C:\WINNT\McAfee.com
2007-03-23 14:41 <DIR> d-------- C:\Programme\Lavasoft
2007-03-23 14:41 <DIR> d-------- C:\DOKUME~1\x\ANWEND~1\Lavasoft
2007-03-21 15:44 <DIR> d--h----- C:\DOKUME~1\x\ANWEND~1\hidires
2007-03-21 15:44 <DIR> d-------- C:\WINNT\exefld
2007-03-21 15:24 94,208 --a------ C:\WINNT\system32\odbccp32.dll
2007-03-21 15:24 90,112 --a------ C:\WINNT\system32\odbcint.dll
2007-03-21 15:24 61,440 --a------ C:\WINNT\system32\odbccu32.dll
2007-03-21 15:24 61,440 --a------ C:\WINNT\system32\odbccr32.dll
2007-03-21 15:24 61,440 --a------ C:\WINNT\system32\dbnetlib.dll
2007-03-21 15:24 45,632 --a------ C:\WINNT\system32\cliconfg.exe
2007-03-21 15:24 44,032 --a------ C:\WINNT\system32\msxml3r.dll
2007-03-21 15:24 4,656 --a------ C:\WINNT\system32\ds16gt.dll
2007-03-21 15:24 385,024 --a------ C:\WINNT\system32\sqlsrv32.dll
2007-03-21 15:24 36,864 --a------ C:\WINNT\system32\mscpxl32.dll
2007-03-21 15:24 32,768 --a------ C:\WINNT\system32\odbcad32.exe
2007-03-21 15:24 28,672 --a------ C:\WINNT\system32\dbnmpntw.dll
2007-03-21 15:24 26,224 --a------ C:\WINNT\system32\odbc16gt.dll
2007-03-21 15:24 24,576 --a------ C:\WINNT\system32\odbcbcp.dll
2007-03-21 15:24 24,576 --a------ C:\WINNT\system32\dbmsvinn.dll
2007-03-21 15:24 24,576 --a------ C:\WINNT\system32\dbmsrpcn.dll
2007-03-21 15:24 24,576 --a------ C:\WINNT\system32\dbmsgnet.dll
2007-03-21 15:24 200,704 --a------ C:\WINNT\system32\odbc32.dll
2007-03-21 15:24 20,480 --a------ C:\WINNT\system32\msorc32r.dll
2007-03-21 15:24 20,480 --a------ C:\WINNT\system32\dbmsadsn.dll
2007-03-21 15:24 180,800 --a------ C:\WINNT\system32\sqlunirl.dll
2007-03-21 15:24 16,384 --a------ C:\WINNT\system32\odbc32gt.dll
2007-03-21 15:24 16,384 --a------ C:\WINNT\system32\ds32gt.dll
2007-03-21 15:24 147,456 --a------ C:\WINNT\system32\odbctrac.dll
2007-03-21 15:24 131,072 --a------ C:\WINNT\system32\msorcl32.dll
2007-03-21 15:24 127,552 --a------ C:\WINNT\system32\cliconfg.dll
2007-03-21 15:24 126,976 --a------ C:\WINNT\system32\msdart.dll
2007-03-21 15:24 1,122,304 --a------ C:\WINNT\system32\msxml3.dll
2007-03-21 15:24 <DIR> d-------- C:\Programme\A9Tech
2007-03-18 21:31 155,648 --a------ C:\WINNT\system32\mscoree.dll
2007-03-18 21:31 <DIR> d-------- C:\Programme\Web Gallery Wizard PRO
2007-03-18 20:49 <DIR> d--hs---- C:\WINNT\ftpcache
2007-03-18 20:49 <DIR> d-------- C:\Programme\WeBuilder 2006
2007-03-18 20:49 <DIR> d-------- C:\DOKUME~1\x\ANWEND~1\Blumentals
2007-03-18 19:35 91,920 --a------ C:\WINNT\system32\CRYPTDLG.DLL
2007-03-18 19:35 831,760 --a------ C:\WINNT\system32\mswdat10.dll
2007-03-18 19:35 67,344 --a------ C:\WINNT\system32\inetpp.dll
2007-03-18 19:35 614,429 --a------ C:\WINNT\system32\mswstr10.dll
2007-03-18 19:35 53,520 --a------ C:\WINNT\system32\msjter40.dll
2007-03-18 19:35 512,272 --a------ C:\WINNT\system32\msexch40.dll
2007-03-18 19:35 422,160 --a------ C:\WINNT\system32\msrd2x40.dll
2007-03-18 19:35 380,957 --a------ C:\WINNT\system32\expsrv.dll
2007-03-18 19:35 315,664 --a------ C:\WINNT\system32\msrd3x40.dll
2007-03-18 19:35 30,749 --a------ C:\WINNT\system32\vbajet32.dll
2007-03-18 19:35 213,264 --a------ C:\WINNT\system32\msltus40.dll
2007-03-18 19:35 180,253 --a------ C:\WINNT\system32\msjint40.dll
2007-03-16 21:02 <DIR> d-------- C:\Programme\Ravisent
2007-03-16 21:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ravisent Shared
2007-03-16 20:52 24 --a------ C:\WINNT\system32\DVCStateBkp-{00000000-00000000-0000000D-00001102-00000002-80271102}.dat
2007-03-16 20:52 24 --a------ C:\WINNT\system32\DVCState-{00000000-00000000-0000000D-00001102-00000002-80271102}.dat
2007-03-16 19:04 90,112 --------- C:\WINNT\Updreg.EXE
2007-03-16 19:04 9,808 --a------ C:\WINNT\system32\drivers\gameenum.sys
2007-03-16 19:04 84,992 --------- C:\WINNT\system32\SFCVRT32.DLL
2007-03-16 19:04 82,432 --------- C:\WINNT\system32\CTWFLT32.DLL
2007-03-16 19:04 61,440 --a------ C:\WINNT\system32\CTAGENT.DLL
2007-03-16 19:04 54,784 --------- C:\WINNT\system32\INETWH32.DLL
2007-03-16 19:04 53,552 --------- C:\WINNT\CTCCW.DLL
2007-03-16 19:04 53,248 --a------ C:\WINNT\system32\AC3API.DLL
2007-03-16 19:04 319,488 --a------ C:\WINNT\system32\CTDEVCON.DLL
2007-03-16 19:04 26,768 --------- C:\WINNT\system32\CTL3D.DLL
2007-03-16 19:04 24,976 --------- C:\WINNT\CTRES.DLL
2007-03-16 19:04 20,480 --a------ C:\WINNT\INRES.DLL
2007-03-16 19:04 149,504 --------- C:\WINNT\system32\MFCANS32.DLL
2007-03-16 19:04 148,208 --a------ C:\WINNT\system32\drivers\portcls.sys
2007-03-16 19:04 110,592 --a------ C:\WINNT\system32\COMMONFX.DLL
2007-03-16 19:04 108,032 --------- C:\WINNT\system32\MFCUIA32.DLL
2007-03-16 19:04 106,496 --a------ C:\WINNT\system32\CTDPROXY.DLL
2007-03-16 19:04 106,496 --a------ C:\WINNT\system32\CTASIO.DLL
2007-03-16 19:04 1,048,576 --------- C:\WINNT\system32\SFMAN.DAT
2007-03-16 19:04 <DIR> d-------- C:\WINNT\system32\Defaults
2007-03-16 19:04 <DIR> d-------- C:\WINNT\system32\Data
2007-03-16 19:03 998,004 --a------ C:\WINNT\system32\drivers\ha10kx2k.sys
2007-03-16 19:03 94,208 --a------ C:\WINNT\DEVREG.DLL
2007-03-16 19:03 837,548 --a------ C:\WINNT\system32\drivers\ctaud2k.sys
2007-03-16 19:03 77,824 --a------ C:\WINNT\system32\EAXAC3.DLL
2007-03-16 19:03 65,536 --a------ C:\WINNT\system32\a3d.dll
2007-03-16 19:03 643,072 --a------ C:\WINNT\system32\CTSBLFX.DLL
2007-03-16 19:03 61,440 --a------ C:\WINNT\MIDIDEF.EXE
2007-03-16 19:03 49,152 --a------ C:\WINNT\system32\KILLAPPS.EXE
2007-03-16 19:03 49,152 --a------ C:\WINNT\CTDCRES.DLL
2007-03-16 19:03 44,055 --a------ C:\WINNT\system32\ctdaught.dat
2007-03-16 19:03 36,864 --a------ C:\WINNT\system32\sfman32.dll
2007-03-16 19:03 36,864 --a------ C:\WINNT\system32\REGPLIB.EXE
2007-03-16 19:03 36,864 --a------ C:\WINNT\system32\CTEMUPIA.DLL
2007-03-16 19:03 28,672 --a------ C:\WINNT\system32\CTSPKHLP.DLL
2007-03-16 19:03 270,336 --a------ C:\WINNT\system32\SFMS32.DLL
2007-03-16 19:03 24,576 --a------ C:\WINNT\system32\CTHELPER.EXE
2007-03-16 19:03 213,860 --a------ C:\WINNT\system32\drivers\ctsfm2k.sys
2007-03-16 19:03 195,432 --a------ C:\WINNT\system32\drivers\ctoss2k.sys
2007-03-16 19:03 184,320 --a------ C:\WINNT\PSCONV.EXE
2007-03-16 19:03 179,669 --a------ C:\WINNT\system32\ctstatic.dat
2007-03-16 19:03 176,128 --a------ C:\WINNT\READREG.EXE
2007-03-16 19:03 164,044 --a------ C:\WINNT\system32\ctdlang.dat
2007-03-16 19:03 156,604 --a------ C:\WINNT\system32\drivers\emupia2k.sys
2007-03-16 19:03 155,648 --a------ C:\WINNT\system32\CTOSUSER.DLL
2007-03-16 19:03 135,168 --a------ C:\WINNT\system32\OPENAL32.DLL
2007-03-16 19:03 127,948 --a------ C:\WINNT\system32\drivers\ctac32k.sys
2007-03-16 19:03 12,288 --a------ C:\WINNT\system32\AHQCpURes.dll
2007-03-16 19:03 113,373 --a------ C:\WINNT\system32\ctbasicw.dat
2007-03-16 19:03 113,273 --a------ C:\WINNT\system32\CTBAS2W.DAT
2007-03-16 19:03 110,592 --a------ C:\WINNT\system32\PIAPROXY.DLL
2007-03-16 19:03 11,068 --a------ C:\WINNT\system32\drivers\ctprxy2k.sys
2007-03-16 19:02 6,752 --------- C:\WINNT\system32\PFMODNT.SYS
2007-03-16 19:02 <DIR> d-------- C:\Programme\Creative
2007-03-16 19:01 4,128 --a------ C:\WINNT\system32\drivers\ctljystk.sys
2007-03-16 19:01 214,848 --a------ C:\WINNT\system32\drivers\emu10K1.sys
2007-03-16 18:34 319,488 --a------ C:\WINNT\system32\AegisI5.exe
2007-03-16 18:34 295,018 --a------ C:\WINNT\system32\Install6x.dll
2007-03-16 18:34 20,027 --a------ C:\WINNT\system32\drivers\AegisP.sys
2007-03-16 18:34 <DIR> d-------- C:\WINNT\system32\DRVSTORE
2007-03-16 18:33 <DIR> d-------- C:\Programme\RALINK
2007-03-16 17:32 182,400 -ra------ C:\WINNT\system32\drivers\RTL8180.sys
2007-03-16 13:47 24,451,404 --a------ C:\LiveDrvUni-Pack(ENG).exe
2007-03-16 13:05 <DIR> d-a------ C:\WINNT\zts2.exe
2007-03-16 13:05 <DIR> d-a------ C:\WINNT\system32\vcmgcd32.dll
2007-03-16 13:05 <DIR> d-a------ C:\WINNT\system32\iifgfgf.dll
2007-03-16 13:05 <DIR> d-a------ C:\WINNT\rundll16.exe
2007-03-16 13:05 <DIR> d-a------ C:\WINNT\rundl132.dll
2007-03-16 12:50 89,872 --a------ C:\WINNT\system32\T.COM
2007-03-16 12:50 76,560 --a------ C:\WINNT\R.COM
2007-03-16 12:45 <DIR> d-------- C:\bases
2007-03-15 23:54 <DIR> d-------- C:\Programme\Native Instruments
2007-03-09 08:42 <DIR> d-------- C:\cheatdumper
2007-03-08 17:47 50,688 --a------ C:\WINNT\system32\wbhelp2.dll
2007-03-08 17:47 499,712 --a------ C:\WINNT\system32\msvcp71.dll
2007-03-08 17:47 <DIR> d-------- C:\Programme\Ipswitch
2007-03-08 17:47 <DIR> d-------- C:\DOKUME~1\x\ANWEND~1\Ipswitch
2007-03-08 17:47 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ipswitch
2007-03-08 17:22 <DIR> d-------- C:\Dating
2007-03-08 09:26 <DIR> d-------- C:\WINNT\system32\appmgmt
2007-03-07 22:10 <DIR> d-------- C:\WINNT\Downloaded Installations
2007-03-06 20:12 <DIR> d-------- C:\Gulitz
2007-03-06 19:12 <DIR> d-------- C:\hairpalst.de
2007-03-03 20:15 <DIR> d-------- C:\Programme\GFI


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-15 02:06 -------- d-------- C:\DOKUME~1\x\ANWEND~1\help
2007-02-15 02:00 -------- d-------- C:\Programme\security task manager
2007-02-01 16:23 -------- d-------- C:\DOKUME~1\x\ANWEND~1\globalscape
2007-02-01 16:22 -------- d-------- C:\Programme\globalscape
2007-01-28 00:28 -------- d-------- C:\DOKUME~1\x\ANWEND~1\mixmeister technology
2007-01-28 00:27 -------- d-------- C:\Programme\mixmeister pro 5
2007-01-27 20:09 -------- d-------- C:\Programme\realvnc
2007-01-27 14:28 -------- d-------- C:\Programme\mixmeister bpm analyzer
2007-01-10 03:38 1800 --a------ C:\WINNT\system32\fontsys64.dll
2007-01-10 03:37 74752 --a------ C:\WINNT\st6unst.exe
2007-01-10 03:37 253952 --------- C:\WINNT\setup1.exe
2006-12-31 14:26 57344 --a------ C:\WINNT\uneng.exe
2006-12-31 14:26 49152 --a------ C:\WINNT\system32\cdrtc.dll
2006-12-31 14:26 45056 --a------ C:\WINNT\system32\cdral.dll
2006-12-18 12:19 271 ---h----- C:\Programme\desktop.ini
2006-12-18 12:19 22080 ---h----- C:\Programme\folder.htt


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"drvsyskit"="C:\\Dokumente und Einstellungen\\x\\Anwendungsdaten\\hidires\\hidr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"ANIWZCS2Service"="C:\\Programme\\ANI\\ANIWZCS2 Service\\WZCSLDR2.exe"
"WINDVDPatch"="CTHELPER.EXE"
"UpdReg"="C:\\WINNT\\UpdReg.EXE"
"Jet Detection"="C:\\Programme\\Creative\\SBLive\\PROGRAM\\ADGJDet.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[color=red]SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
rpcss REG_MULTI_SZ RpcSs\0\0
wugroup REG_MULTI_SZ wuauserv\0\0
BITSgroup REG_MULTI_SZ BITS\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
WmdmPmSN



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

cmd.exe [380]

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0

********************************************************************

Completion time: Mon 2007-03-26 2:35:24
Seitenanfang Seitenende
26.03.2007, 11:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 drumdrum

im grunde rate ich dir zum Formatieren, denn auf dem rechner ist ua. eine Bagle-Variante
http://virus-protect.org/virus/m_hook_sys.html

hat ueber : scanning hidden processes ...
cmd.exe [380] - Zugriff auf deinen Rechner................
-----------------------------------------------------------------------

««
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste hier den report

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"drvsyskit"=-
-----------------------------------------------------------------------

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

drivers to unload:
m_hook

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook

Files to delete:
C:\WINNT\system32\T.COM
C:\WINNT\R.COM
C:\WINNT\system32\wintems.exe

Folders to delete:
C:\Dokumente und Einstellungen\x\Anwendungsdaten\hidires
C:\WINNT\exefld
C:\WINNT\zts2.exe
C:\WINNT\system32\vcmgcd32.dll
C:\WINNT\system32\iifgfgf.dll
C:\WINNT\rundll16.exe
C:\WINNT\rundl132.dll
C:\bases
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

-------------------------------------------------------------------------
««
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2007, 18:39
drumdrum
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina,

vielen dank für die Mühe schon einmal an dieser Stelle.

Hier schonmal der BlackLight Report, könnte sein das einige Files hier nicht auftauchen da ich schon über eine Bootcd - Safeboot war schon ausgeknipst - den Ordener hidires entfernt habe.

03/26/07 18:08:11 [Info]: BlackLight Engine 1.0.55 initialized
03/26/07 18:08:11 [Info]: OS: 5.0 build 2195 (Service Pack 4)
03/26/07 18:08:11 [Note]: 7019 4
03/26/07 18:08:11 [Note]: 7005 0
03/26/07 18:31:41 [Note]: 7006 0
03/26/07 18:31:41 [Note]: 7011 932
03/26/07 18:31:41 [Note]: 7026 0
03/26/07 18:31:42 [Note]: 7026 0
03/26/07 18:31:50 [Note]: FSRAW library version 1.7.1021
03/26/07 18:32:48 [Note]: 7007 0


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yvgaoyef

*******************

Script file located at: \??\C:\WINNT\ypmmnjns.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver m_hook unloaded successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m_hook not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m_hook failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m_hook
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034

File C:\WINNT\system32\T.COM deleted successfully.
File C:\WINNT\R.COM deleted successfully.


File C:\WINNT\system32\wintems.exe not found!
Deletion of file C:\WINNT\system32\wintems.exe failed!

Could not process line:
C:\WINNT\system32\wintems.exe
Status: 0xc0000034



Folder C:\Dokumente und Einstellungen\x\Anwendungsdaten\hidires not found!
Deletion of folder C:\Dokumente und Einstellungen\x\Anwendungsdaten\hidires failed!

Could not process line:
C:\Dokumente und Einstellungen\x\Anwendungsdaten\hidires
Status: 0xc0000034

Folder C:\WINNT\exefld deleted successfully.
Folder C:\WINNT\zts2.exe deleted successfully.
Folder C:\WINNT\system32\vcmgcd32.dll deleted successfully.
Folder C:\WINNT\system32\iifgfgf.dll deleted successfully.
Folder C:\WINNT\rundll16.exe deleted successfully.
Folder C:\WINNT\rundl132.dll deleted successfully.
Folder C:\bases deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Dieser Beitrag wurde am 26.03.2007 um 18:53 Uhr von drumdrum editiert.
Seitenanfang Seitenende
26.03.2007, 19:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2007, 23:48
drumdrum
...neu hier

Themenstarter

Beiträge: 6
#7 Nadenn, hier ist er:

Scanning Report
Monday, March 26, 2007 20:05:25 - 21:55:10

Computer name: STEVEN
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ E:\
Result: 0 malware found
Statistics
Scanned:
Files: 44276
System: 3847
Not scanned: 3
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 0
Submitted: 0
Files not scanned:
C:\DOKUMENTE UND EINSTELLUNGEN\X\LOKALE EINSTELLUNGEN\TEMP\~ROMFN_000002A0
C:\WINNT\SYSTEM32\CONFIG\SECURITY
E:\PAGEFILE.SYS

«
Seitenanfang Seitenende
27.03.2007, 10:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 drumdrum

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

------------------------------------------------------------------------------------------------
««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 1 oder 2 oder 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2007, 19:31
drumdrum
...neu hier

Themenstarter

Beiträge: 6
#9 SDFix: Version 1.75

Run by x - Di 27.03.2007 - 18:04:10,12

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Safe Mode:
Checking Services:





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

C:\WINNT\system32
No streams found.


Final Check:

Remaining Services:
------------------



Remaining Files:
---------------


Checking For Files with Hidden Attributes :

C:\Programme\Canon\Canon Setup Utility 2.0\uinstrsc.dll
C:\Programme\Color Schemer Studio\gdiplus.dll
C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe
C:\Programme\Ipswitch\WS_FTP Professional\wsftpgui.exe-CommandBars
C:\hairpalst.de\Hairplast\._moofx.zip

Finished
Seitenanfang Seitenende
27.03.2007, 19:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 sieht gut aus ;)
falls es noch probleme geben sollte - melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2007, 20:41
drumdrum
...neu hier

Themenstarter

Beiträge: 6
#11 Prima, besten Dank für die Hilfe!

Hier noch der Vollständigkeit halber SophosReport:


Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 232717 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 19:31:43, System date 27 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\SDFix\IDE


Could not open C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\~ROMFN_00000274

2 boot sectors swept.
33528 files swept in 53 minutes and 16 seconds.
1 error was encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1