IE öffnet sich immer automatisch

#0
10.08.2007, 12:37
...neu hier

Beiträge: 7
#1 Also mit ATF cleaner gecleant hab ich

combofix runtergeladen und ausgeführt, hier der bericht:


ComboFix 07-08-09.3 - "lo" 2007-08-10 12:31:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.758 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\lo\Desktop\internet.lnk
C:\WINDOWS\system32\winsys.exe


((((((((((((((((((((((((( Files Created from 2007-07-10 to 2007-08-10 )))))))))))))))))))))))))))))))


2007-08-10 12:30 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-10 12:30 1,412,580 --a------ C:\ComboFix.exe
2007-08-10 12:27 50,688 --a------ C:\ATF-Cleaner.exe
2007-08-06 16:19 <DIR> d-------- C:\!KillBox
2007-08-06 11:40 8,317,384 --a------ C:\2W_UPGRADE_11_to_12.exe
2007-08-06 11:40 79,593,151 --a------ C:\2W_UPGRADE_11.exe
2007-08-06 11:40 63,965,463 --a------ C:\2W_UPGRADE_12_to_13.exe
2007-08-06 11:40 185,135,469 --a------ C:\2W_PATCH_13_to_14.exe
2007-08-06 11:32 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-08-06 11:32 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-08-06 11:31 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-08-06 11:31 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-08-06 11:31 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-08-06 11:31 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-08-06 11:31 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-08-06 11:31 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-08-06 11:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-06 11:24 <DIR> d-------- C:\Programme\Reality Pump
2007-08-05 12:27 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-08-05 12:27 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-08-04 22:18 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-04 22:18 8,704 --a--c--- C:\WINDOWS\system32\dllcache\kbdjpn.dll
2007-08-04 22:18 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-08-04 22:18 8,192 --a--c--- C:\WINDOWS\system32\dllcache\kbdkor.dll
2007-08-04 22:18 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-08-04 22:18 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd106.dll
2007-08-04 22:18 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd101c.dll
2007-08-04 22:18 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd101b.dll
2007-08-04 22:18 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-08-04 22:18 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-08-04 22:18 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-08-04 22:18 5,632 --a--c--- C:\WINDOWS\system32\dllcache\kbd103.dll
2007-08-04 22:18 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-08-04 22:14 <DIR> d-------- C:\Programme\KONAMI
2007-07-30 18:23 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-07-30 18:23 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-07-28 22:31 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\temp
2007-07-28 22:16 <DIR> d-------- C:\Programme\EA SPORTS
2007-07-28 21:49 <DIR> d-------- C:\EA SPORTS
2007-07-25 22:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
2007-07-25 20:35 <DIR> d-------- C:\Programme\Windows Live
2007-07-25 20:35 <DIR> d-------- C:\Programme\Messenger Plus! Live
2007-07-25 17:56 <DIR> d-------- C:\Programme\Google
2007-07-23 11:47 <DIR> d-------- C:\Programme\Real
2007-07-23 11:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-07-23 11:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-07-23 11:47 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\Real
2007-07-23 11:42 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\vlc
2007-07-23 11:39 <DIR> d-------- C:\DOKUME~1\lo\ANWEND~1\dvdcss
2007-07-23 11:38 <DIR> d-------- C:\Programme\VideoLAN
2007-07-23 11:36 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-07-22 14:42 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-07-22 14:42 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-07-22 14:42 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-07-22 14:42 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-07-22 14:42 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-07-22 14:42 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-07-22 14:42 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-07-22 14:42 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-07-22 14:42 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-07-22 14:41 98,816 --a--c--- C:\WINDOWS\system32\dllcache\dmstyle.dll
2007-07-22 14:41 98,816 --a------ C:\WINDOWS\system32\dmstyle.dll
2007-07-22 14:41 974,848 --a--c--- C:\WINDOWS\system32\dllcache\dxdiag.exe
2007-07-22 14:41 974,848 --a------ C:\WINDOWS\system32\dxdiag.exe
2007-07-22 14:41 83,968 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys
2007-07-22 14:41 83,968 --a------ C:\WINDOWS\system32\drivers\nabtsfec.sys
2007-07-22 14:41 80,896 --a--c--- C:\WINDOWS\system32\dllcache\dpvsetup.exe
2007-07-22 14:41 80,896 --a------ C:\WINDOWS\system32\dpvsetup.exe
2007-07-22 14:41 8,192 --a--c--- C:\WINDOWS\system32\dllcache\d3d8thk.dll
2007-07-22 14:41 8,192 --a------ C:\WINDOWS\system32\d3d8thk.dll
2007-07-22 14:41 797,184 --a--c--- C:\WINDOWS\system32\dllcache\d3dim700.dll
2007-07-22 14:41 797,184 --a------ C:\WINDOWS\system32\d3dim700.dll
2007-07-22 14:41 79,360 --a--c--- C:\WINDOWS\system32\dllcache\dpwsockx.dll
2007-07-22 14:41 79,360 --a------ C:\WINDOWS\system32\dpwsockx.dll
2007-07-22 14:41 77,824 --a--c--- C:\WINDOWS\system32\dllcache\dpmodemx.dll
2007-07-22 14:41 77,824 --a------ C:\WINDOWS\system32\dpmodemx.dll
2007-07-22 14:41 76,800 --a--c--- C:\WINDOWS\system32\dllcache\dmscript.dll
2007-07-22 14:41 76,800 --a------ C:\WINDOWS\system32\dmscript.dll
2007-07-22 14:41 733,184 --a--c--- C:\WINDOWS\system32\dllcache\qedwipes.dll
2007-07-22 14:41 733,184 --a------ C:\WINDOWS\system32\qedwipes.dll
2007-07-22 14:41 723,968 --a--c--- C:\WINDOWS\system32\dllcache\dpnet.dll
2007-07-22 14:41 723,968 --a------ C:\WINDOWS\system32\dpnet.dll
2007-07-22 14:41 7,424 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2007-07-22 14:41 7,424 --a------ C:\WINDOWS\system32\drivers\mskssrv.sys
2007-07-22 14:41 68,096 --a--c--- C:\WINDOWS\system32\dllcache\dpnhupnp.dll
2007-07-22 14:41 68,096 --a------ C:\WINDOWS\system32\dpnhupnp.dll
2007-07-22 14:41 667,648 --a--c--- C:\WINDOWS\system32\dllcache\dinput8.dll
2007-07-22 14:41 667,648 --a------ C:\WINDOWS\system32\dinput8.dll
2007-07-22 14:41 66,408 --a------ C:\WINDOWS\system32\dxdllreg.exe
2007-07-22 14:41 648,704 --a--c--- C:\WINDOWS\system32\dllcache\dinput.dll
2007-07-22 14:41 648,704 --a------ C:\WINDOWS\system32\dinput.dll
2007-07-22 14:41 64,512 --a--c--- C:\WINDOWS\system32\dllcache\amstream.dll
2007-07-22 14:41 64,512 --a------ C:\WINDOWS\system32\amstream.dll
2007-07-22 14:41 602,624 --a--c--- C:\WINDOWS\system32\dllcache\dx7vb.dll
2007-07-22 14:41 602,624 --a------ C:\WINDOWS\system32\dx7vb.dll
2007-07-22 14:41 590,336 --a--c--- C:\WINDOWS\system32\dllcache\d3dramp.dll
2007-07-22 14:41 590,336 --a------ C:\WINDOWS\system32\d3dramp.dll
2007-07-22 14:41 58,368 --a--c--- C:\WINDOWS\system32\dllcache\dmcompos.dll
2007-07-22 14:41 58,368 --a------ C:\WINDOWS\system32\dmcompos.dll
2007-07-22 14:41 52,096 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-21 23:13 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2007-07-21 23:13 316594 --a------ C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2003-08-19 14:21]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-12 17:44]
"nwiz"="nwiz.exe" [2007-04-12 17:44 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\System32\sw20.exe" [2006-12-15 04:58]
"SW24"="C:\WINDOWS\System32\sw24.exe" [2006-12-15 04:58]
"WinSys2"="C:\WINDOWS\System32\winsys2.exe" [2006-12-15 04:59]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-12 17:44]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-07-21 22:11]
"SoundMan"="SOUNDMAN.EXE" [2006-03-02 01:22 C:\WINDOWS\soundman.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-23 11:47]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk
backup=C:\WINDOWS\pss\FRITZ!DSL Startcenter.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

R1 AmdK8;AMD Processor Driver;C:\WINDOWS\System32\DRIVERS\AmdK8.sys
S3 GMSIPCI;GMSIPCI;\??\E:\INSTALL\GMSIPCI.SYS
S3 MSICPL;MSICPL;\??\E:\install4\MSICPL.sys
S3 NTACCESS;NTACCESS;\??\E:\NTACCESS.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys


Contents of the 'Scheduled Tasks' folder
2007-07-21 20:01:59 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen.job
2007-07-21 19:52:34 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job
2007-08-09 22:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job
2007-08-10 09:35:53 C:\WINDOWS\Tasks\Symantec NetDetect.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-10 12:32:06
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000638

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-10 12:32:31
C:\ComboFix-quarantined-files.txt ... 2007-08-10 12:32

--- E O F ---



MIt hjiack this auch durchgescannt hier der bericht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:38, on 10.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\winsys2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F074BB6-69AC-46DB-BA97-FBA2640370E5}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

--
End of file - 5162 bytes



ich hoffe das reicht um erstmal paar tips zu erhalten, danke im vorraus
mfg
Seitenanfang Seitenende
10.08.2007, 14:34
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

bitte online prüfen lasse:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\System32\winsys2.exe
C:\WINDOWS\System32\sw20.exe
C:\WINDOWS\System32\sw24.exe
Nach dem hier sollte das ein Trojaner sein (C:\WINDOWS\System32\winsys2.exe)...
http://www.liutilities.com/products/wintaskspro/processlibrary/winsys2/

Und daher mache wir ihn jetzt ein bisschen platt ;o)....

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinSys2


Files to delete:
C:\WINDOWS\System32\winsys2.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


Chris
Seitenanfang Seitenende
10.08.2007, 18:14
...neu hier

Themenstarter

Beiträge: 7
#3 Also, soweit alles gemacht
hier die ergebnisse von virustotal beim anhand
ansonsten den rest so ausgeführt wie angesagt

danke
mfg


EDIT: IE öffnet sich immer noch :/

Anhang: Desktop.rar
Dieser Beitrag wurde am 10.08.2007 um 18:20 Uhr von e-hh editiert.
Seitenanfang Seitenende
10.08.2007, 21:11
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

was zeigt der Explorer an?

Chris
Seitenanfang Seitenende
10.08.2007, 21:14
...neu hier

Themenstarter

Beiträge: 7
#5 eine leere seite nun (about.blank)
vorher kam immer die startseite
Seitenanfang Seitenende
11.08.2007, 14:26
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

die Gretchenfrage ist, ob der IE was über die Leitung macht,
oder nur hochgefahren wird (Autostart) bzw. über eine
andere SW gestartet wird...

(Nur wo sehe ich nicht, auch sonst nichts mehr auffälliges)

Bei den Logs der restlichen Dateien fehlt leider der interessante
Teil mit dem Ergebnissen der einzelnen Scanner...

Scannen wir mal mit einer Alternative:
Download drWeb-cureit zum Desktop (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
Alternativ Download
(http://download.drweb.com/drweb+cureit/)

Doppelklick drweb-cureit.exe und erlaube den express scan zu starten.
Wenn etwas gefunden wird,und die Frage kommt ‘cure it?’klicke den Knopf ‘Yes to all’

Stellen wir zunächst unter "Language" im aufpoppenden Menu "Deutsch" ein

Wenn dieser scan beendet ist,klick Optionen >Einstellungen aendern
Waehle "ueberpruefen"-tab und entferne das haeckchen bei "Heuristic analyse"

Starte deinen Recher im abgesicherten Modus neu.

Zurueck im Hauptfenster kann man die Drives selektieren die man scannen lassen will

Klick danach den gruenen Pfeil um den scan zu starten
Klick 'Yes to all' wenn gefragt wird um cure oder move auszufuehren

Jetzt werden die Dateien die nicht Desinfiziert werden können nach %userprofile%\DoctorWeb\quarantaine-folder versetzt.

Klicke oben auf ‘Datei’und waehle “Pruefbericht speichern”
Das log auf den Desktop aufheben und hier posten

Schliesse Dr.Web Cureit.

Starte neu in normal Modus!!
Poste nachher den log von Dr.Web Cureit mit einem log von HijackThis

Chris
Seitenanfang Seitenende
11.08.2007, 16:05
...neu hier

Themenstarter

Beiträge: 7
#7 Also,

hab drweb cureit ausgeführt, er hat keine viren gefunden, konnte jedoch kein bericht abspeichern
hab nun wieder den pc seit einer std an und bis jetzt kam nichts.........

naja
hier nochmal der hjackthis bericht


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:02, on 11.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F074BB6-69AC-46DB-BA97-FBA2640370E5}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

--
End of file - 5027 bytes


danke

mfg
Seitenanfang Seitenende
13.08.2007, 08:15
Member
Avatar Chris4You

Beiträge: 694
#8 Hi,

sieht gut aus, bei Gelegenheit mal den IE updaten...

Chris
Seitenanfang Seitenende
13.08.2007, 10:29
...neu hier

Themenstarter

Beiträge: 7
#9 jo bis jetzt kam auch nichts mehr, werde mal den IE updaten.

Soweit erstmal recht herzlichen dank.

Eine Frage hätte ich noch:

Gibt´s nicht ein Prog womit man solche attacken blockieren kann um in Zukunft solche probleme nicht zu haben?

danke im vorraus
mfg
Seitenanfang Seitenende
13.08.2007, 10:43
Member
Avatar Chris4You

Beiträge: 694
#10 Hi,

da müssen verschiedene Komponenten zusammenspielen, z.B. Firewall, proaktiver Schutz (Überwachung der Registry) und ein Realtimescanner sowie ein immer upgedatetes System. Wobei auch das nicht immer hilft, z.. das sich die Sachen über einen Exploit eines "berechtigten" Programmes einschleichen und so neu sind, das kein Scanner sie kennt.
-> Daher immer mit begrenzten User-Rechten Surfen (niemals als Admin), oder
den IE in einer Sandbox (http://www.sandboxie.com/) laufen lassen.
Das ist bis jetzt sehr sicher, wobei es bereits Proof-of-concept Ansätze gibt das Betriebssystem in eine Art "virtuellen PC" zu sperren, wobei der Trojaner dann als virtuelle Maschine agiert.
-> Er kontrolliert alles und der User und die gesamte Sicherheits-SW merkt davon rein garnichts.... Das kann noch sehr "lustig" werden...

Chris
Seitenanfang Seitenende
14.08.2007, 09:40
...neu hier

Themenstarter

Beiträge: 7
#11 naja
danke dann erstmal für die hilfe.
mfg
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »