Me too :-( "spyware detection alert"

#0
24.08.2007, 16:08
...neu hier

Beiträge: 4
#1 Hallo Helfer,

mich hat auch die "Spyware detection" erwischt. Im Systray kommt nach dem Start ein Icon mit einem Ausrufezeichen.

Nach der Anleitung habe ich mal das Combofix laufen lassen, hier das Log:

Zitat

ComboFix 07-08-17.2 - "krth" 2007-08-24 15:23:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.472 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\DOWNLO~1\cnsweb3d.inf
C:\WINNT\DOWNLO~1\cnsweb3d.ocx
C:\WINNT\system32\pskill.exe
C:\WINNT\system32\wincji32.dll
C:\WINNT\system32\x64


((((((((((((((((((((((((( Files Created from 2007-07-24 to 2007-08-24 )))))))))))))))))))))))))))))))


2007-08-24 15:22 51,200 --a------ C:\WINNT\nircmd.exe
2007-08-24 14:51 <DIR> d-------- C:\WINNT\pss
2007-08-24 10:34 6,473 ---hs---- C:\WINNT\system32\jjkmp.bak1
2007-08-24 10:34 298,080 --a------ C:\WINNT\system32\pmkjj.dll
2007-08-24 10:28 93,184 --a------ C:\WINNT\system32\drvduc.dll
2007-08-24 10:28 43,542 --a------ C:\WINNT\system32\yabyayx.dll
2007-08-24 10:28 <DIR> d-------- C:\DOCUME~1\krth\APPLIC~1\WinRAR
2007-08-24 09:33 <DIR> d-------- C:\Program Files\digimap2002
2007-08-17 09:39 <DIR> d-------- C:\Program Files\Beck IPC GmbH
2007-08-17 09:38 84,040 --a------ C:\WINNT\system32\drivers\RTIOdrvDAMP.sys
2007-08-17 09:38 8,704 --a------ C:\WINNT\system32\drivers\SysDrv3S.sys
2007-08-17 09:38 64,137 --a------ C:\WINNT\system32\drivers\RTIOdrvHilscherDPM.sys
2007-08-17 09:38 62,085 --a------ C:\WINNT\system32\drivers\RTIOdrvKuhnkePBM.sys
2007-08-17 09:38 403,132 --a------ C:\WINNT\system32\drivers\RTIOdrvCP5613.sys
2007-08-17 09:38 332,905 --a------ C:\WINNT\system32\drivers\3SRTE.sys
2007-08-17 09:38 31,292 --a------ C:\WINNT\system32\drivers\RTIOdrvHMS.sys
2007-08-17 09:38 306,732 --a------ C:\WINNT\system32\drivers\RTIOdrvAutomata.sys
2007-08-17 09:38 267,740 --a------ C:\WINNT\system32\drivers\ibpcimpm.sys
2007-08-17 09:38 23,675 --a------ C:\WINNT\system32\drivers\RTIOdrvAPIC.sys
2007-08-17 09:38 222,644 --a------ C:\WINNT\system32\drivers\RTIOdrvApplicom.sys
2007-08-17 09:38 207,556 --a------ C:\WINNT\system32\drivers\RTIOdrvFC310x.sys
2007-08-17 09:38 111,516 --a------ C:\WINNT\system32\drivers\RTIOdrvSJA.sys
2007-08-17 09:37 77,824 --a------ C:\WINNT\system32\opcproxy.dll
2007-08-17 09:37 75,264 --a------ C:\WINNT\system32\callrproxy.dll
2007-08-17 09:37 65,536 --------- C:\WINNT\system32\CommUsr.dll
2007-08-17 09:37 61,440 --a------ C:\WINNT\system32\opccomn_ps.dll
2007-08-17 09:37 60,416 --a------ C:\WINNT\system32\OPCENUM.EXE
2007-08-17 09:37 491,520 --a------ C:\WINNT\system32\LMAPI.DLL
2007-08-17 09:37 49,152 --------- C:\WINNT\system32\PEAK_USB.dll
2007-08-17 09:37 49,152 --------- C:\WINNT\system32\PEAK_DNG.dll
2007-08-17 09:37 49,152 --------- C:\WINNT\system32\CommSym.dll
2007-08-17 09:37 49,152 --------- C:\WINNT\system32\CAN_VCI.dll
2007-08-17 09:37 40,960 --a------ C:\WINNT\system32\OCSSpy_ps.dll
2007-08-17 09:37 36,864 --------- C:\WINNT\system32\PCAN_USB.dll
2007-08-17 09:37 36,864 --------- C:\WINNT\system32\PCAN_DNG.dll
2007-08-17 09:37 208,896 --------- C:\WINNT\system32\Gateway.exe
2007-08-17 09:37 200,704 --------- C:\WINNT\system32\GDrvStd.dll
2007-08-17 09:37 184,320 --------- C:\WINNT\system32\GClient.dll
2007-08-17 09:37 167,936 --------- C:\WINNT\system32\GatewayDDE.exe
2007-08-17 09:37 135,168 --------- C:\WINNT\system32\GUtil.dll
2007-08-17 09:37 131,072 --------- C:\WINNT\system32\GSymbol.dll
2007-08-17 09:37 131,072 --------- C:\WINNT\system32\GHandle.dll
2007-08-17 09:37 122,880 --------- C:\WINNT\system32\GHandleStdcall.dll
2007-08-17 09:37 114,688 --a------ C:\WINNT\system32\OCSDAAuto.dll
2007-08-17 09:37 102,400 --------- C:\WINNT\system32\GDrvBase.dll
2007-08-17 09:36 286,720 --a------ C:\WINNT\system32\ENIClient.dll
2007-08-17 09:36 139,264 --a------ C:\WINNT\system32\3SXMLParser.dll
2007-08-17 09:36 <DIR> d-------- C:\Program Files\3S Software
2007-08-17 09:08 221,184 --a------ C:\WINNT\system32\wmpns.dll
2007-08-17 09:05 <DIR> d-------- C:\WINNT\system32\appmgmt
2007-08-16 13:12 <DIR> d--h----- C:\WINNT\PIF
2007-08-16 12:46 <DIR> d-------- C:\WINNT\system32\he-il
2007-08-16 12:45 <DIR> d-------- C:\WINNT\system32\ar-sa
2007-08-16 12:44 <DIR> d-------- C:\DOCUME~1\krth\APPLIC~1\Windows Desktop Search
2007-08-16 12:33 <DIR> d--h----- C:\WINNT\msdownld.tmp
2007-08-16 12:22 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\uk-UA
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\tr-TR
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\th-TH
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\sv-SE
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\sr-SP-Latn
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\sl-SI
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\sk-SK
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\ru-RU
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\ro-RO
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\pt-PT
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\pt-BR
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\pl-PL
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\nl-NL
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\nb-NO
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\lv-LV
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\lt-LT
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\ko-KR
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\ja-JP
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\it-IT
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\hu-HU
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\hr-HR
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\et-EE
2007-08-16 12:16 <DIR> d-------- C:\WINNT\system32\bg-BG
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\zh-TW
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\zh-CN
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\fr-FR
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\fi-FI
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\es-ES
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\el-GR
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\de-DE
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\da-DK
2007-08-16 12:15 <DIR> d-------- C:\WINNT\system32\cs-CZ
2007-08-16 12:11 8,477,560 --------- C:\Temp\WindowsDesktopSearch-KB917013-V301-XP-x86-Mui.exe
2007-08-16 12:10 <DIR> d-------- C:\Program Files\Windows Desktop Search
2007-08-13 14:06 <DIR> d-------- C:\WINNT\Gateway Files
2007-08-13 12:05 <DIR> d-------- C:\ENI
2007-08-13 12:01 <DIR> d-------- C:\Program Files\Common Files\CAA-Targets
2007-08-13 12:01 <DIR> d-------- C:\lm.dat
2007-08-09 13:13 480 --a------ C:\pppdump.bin
2007-08-09 12:53 <DIR> d-------- C:\Program Files\Softick
2007-08-09 12:41 286,720 --a------ C:\WINNT\mpppuninstall.exe
2007-08-09 12:41 <DIR> d-------- C:\Mppp
2007-08-09 11:03 <DIR> d-------- C:\DOCUME~1\krth\APPLIC~1\Arcsoft
2007-08-07 16:20 <DIR> d-------- C:\Program Files\palmOne


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-24 15:38 --------- d-------- C:\Program Files\Symantec AntiVirus
2007-08-23 08:42 --------- d-------- C:\Program Files\NetInst
2007-08-17 10:33 684313 --a------ C:\WINNT\unins000.exe
2007-08-17 09:38 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-27 14:06 --------- d-------- C:\Program Files\PSPICE
2007-07-27 11:27 --------- d-------- C:\DOCUME~1\krth\APPLIC~1\XnView
2007-07-24 09:08 --------- d-------- C:\Program Files\Opera
2007-06-28 11:01 --------- d-------- C:\DOCUME~1\krth\APPLIC~1\Apple Computer
2007-06-26 08:08 1104896 --a------ C:\WINNT\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINNT\system32\gdi32.dll
2007-06-13 12:23 1033216 --a------ C:\WINNT\explorer.exe
2007-06-05 11:04 6656 --a------ C:\WINNT\system32\haspvdd.dll
2007-06-05 11:04 383 --a------ C:\WINNT\system32\haspdos.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3088F9C5-1615-4A0B-88B7-E818FA391A2B}]
2007-08-24 10:28 43542 --a------ C:\WINNT\system32\yabyayx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA36B99A-C2BF-455F-BE50-A21CABE82407}]
2007-08-24 10:34 298080 --a------ C:\WINNT\system32\pmkjj.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINNT\system32\igfxtray.exe" [2004-09-30 15:41]
"HotKeysCmds"="C:\WINNT\system32\hkcmd.exe" [2004-09-30 15:37]
"Persistence"="C:\WINNT\system32\igfxpers.exe" [2006-08-14 14:38]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2006-03-24 17:14]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-06-15 01:40]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 09:08]
"FESTO_SYSINFO"="C:\WINNT\CMD\CC\CC.EXE" [2006-03-23 17:12]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Standard\Distillr\Acrotray.exe" [2006-01-12 20:52]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54]
"ENISysTray"="C:\Program Files\3S Software\CoDeSys ENI Server\ENISysTray.exe" [2007-05-08 09:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINNT\system32\ctfmon.exe" [2004-08-04 05:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"RunNarrator"=Narrator.exe

C:\Documents and Settings\krth\Start Menu\Programs\Startup\
HotSync Manager.lnk - C:\Program Files\palmOne\HOTSYNC.EXE [2004-04-13 17:03:10]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Acrobat Speed Launcher.lnk - C:\WINNT\Installer\{AC76BA86-1033-F400-BA7E-100000000002}\SC_Acrobat.exe [2007-04-24 12:16:12]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader\reader_sl.exe [2005-09-24 08:05:26]
Windows Desktop Search.lnk - C:\Program Files\Windows Desktop Search\WindowsSearch.exe [2007-02-05 15:40:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"SetVisualStyle"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoMSAppLogo5ChannelNotify"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"=1 (0x1)
"NoWelcomeScreen"=1 (0x1)
"StartRunNoHOMEPATH"=1
"ForceClassicControlPanel"=1 (0x1)
"NoSMBalloonTip"=1 (0x1)
"NoThemesTab"=1 (0x1)
"NoDesktopCleanupWizard"=1 (0x1)
"NoSimpleStartMenu"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]
"{3088F9C5-1615-4A0B-88B7-E818FA391A2B}"= C:\WINNT\system32\yabyayx.dll [2007-08-24 10:28 43542]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINNT\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj]
C:\WINNT\system32\pmkjj.dll 2007-08-24 10:34 298080 C:\WINNT\system32\pmkjj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yabyayx]
yabyayx.dll 2007-08-24 10:28 43542 C:\WINNT\system32\yabyayx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\NetInst\NiAMH.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1614895754-484763869-682003330-12281\Scripts\Logon\0\0]
"Script"=\\festo.net\sysvol\festo.net\scripts\FestoLogonINT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1614895754-484763869-682003330-14043\Scripts\Logon\0\0]
"Script"=\\festo.net\sysvol\festo.net\scripts\FestoLogonDE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1614895754-484763869-682003330-48937\Scripts\Logon\0\0]
"Script"=\\festo.net\sysvol\festo.net\scripts\DE_BeckLogon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1614895754-484763869-682003330-57255\Scripts\Logon\0\0]
"Script"=\\festo.net\sysvol\festo.net\scripts\DE_BeckLogon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1614895754-484763869-682003330-64987\Scripts\Logon\0\0]
"Script"=\\festo.net\sysvol\festo.net\scripts\DE_BeckLogon.exe


R2 CcmExec;SMS Agent Host;C:\WINNT\system32\CCM\CcmExec.exe
R2 ENI Server;ENI Server;C:\Program Files\3S Software\CoDeSys ENI Server\ENI.exe
R2 WFConfigService;WFConfigService;C:\Program Files\festo\wfcfgsvc\wfcfgsvc.exe
R2 XilinxPC4Driver;XilinxPC4Driver;C:\WINNT\system32\drivers\XPC4DRVR.SYS
R3 akshasp;Aladdin HASP Key;C:\WINNT\system32\DRIVERS\akshasp.sys
R3 NIAIServ;NetInstall Service;"C:\Program Files\NetInst\NiAiServ.exe"
R3 prepdrvr;SMS Process Event Driver;\??\C:\WINNT\system32\CCM\prepdrv.sys
R3 WinDriver6;WinDriver6;C:\WINNT\system32\drivers\windrvr6.sys
S2 NiExServ;NetInstall Executive;"C:\Program Files\NetInst\NiExServ.exe"
S3 3SRTE;RTE 3S System Driver;C:\WINNT\system32\drivers\3SRTE.sys
S3 ibpcimpm;ibpcimpm;C:\WINNT\system32\drivers\ibpcimpm.sys
S3 ispDev;ispDev;C:\WINNT\system32\drivers\isp.sys
S3 PsSdk30;PsSdk30;\??\C:\WINNT\system32\Drivers\PsSdk30.drv
S3 RTIOdrvAPIC;RTIOdrvAPIC;C:\WINNT\system32\drivers\RTIOdrvAPIC.sys
S3 RTIOdrvApplicom;RTIOdrvApplicom;C:\WINNT\system32\drivers\RTIOdrvApplicom.sys
S3 RTIOdrvAutomata;RTIOdrvAutomata;C:\WINNT\system32\drivers\RTIOdrvAutomata.sys
S3 RTIOdrvCP5613;RTIOdrvCP5613;C:\WINNT\system32\drivers\RTIOdrvCP5613.sys
S3 RTIOdrvDAMP;RTIOdrvDAMP;C:\WINNT\system32\drivers\RTIOdrvDAMP.sys
S3 RTIOdrvFC310x;RTIOdrvFC310x;C:\WINNT\system32\drivers\RTIOdrvFC310x.sys
S3 RTIOdrvHilscherDPM;RTIOdrvHilscherDPM;C:\WINNT\system32\drivers\RTIOdrvHilscherDPM.sys
S3 RTIOdrvHMS;RTIOdrvHMS;C:\WINNT\system32\drivers\RTIOdrvHMS.sys
S3 RTIOdrvKuhnkePBM;RTIOdrvKuhnkePBM;C:\WINNT\system32\drivers\RTIOdrvKuhnkePBM.sys
S3 RTIOdrvSJA;RTIOdrvSJA;C:\WINNT\system32\drivers\RTIOdrvSJA.sys
S3 RTService;RT Service 3S KM;C:\Program Files\3S Software\CoDeSys SP RTE\RTService.exe


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-24 15:40:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-24 15:54:57 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-24 15:54

--- E O F ---
Hier das HiJacklog:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00, on 2007-08-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Lotus\Notes\nslsvice.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\VMware\VMware Player\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINNT\system32\vmnat.exe
C:\Program Files\festo\wfcfgsvc\wfcfgsvc.exe
C:\Program Files\3S Software\CoDeSys ENI Server\ENI.exe
C:\WINNT\system32\vmnetdhcp.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINNT\CMD\CC\CC.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 7.0\Standard\Distillr\Acrotray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\3S Software\CoDeSys ENI Server\ENISysTray.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\palmOne\HOTSYNC.EXE
C:\WINNT\system32\SearchIndexer.exe
C:\WINNT\system32\SearchProtocolHost.exe
C:\Program Files\Opera\Opera.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.beck-ipc.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.beck-ipc.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://adewww26.de.festo.net/proxy/proxy_beck.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = vdeprxhv.de.festo.net:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ade*;sde*;*.festo.com;*.festo.de;*.festo.net;10.*;141.130.*;172.31.*;teleservice.imt.zeiss.de;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\Standard\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3088F9C5-1615-4A0B-88B7-E818FA391A2B} - C:\WINNT\system32\yabyayx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DA36B99A-C2BF-455F-BE50-A21CABE82407} - C:\WINNT\system32\pmkjj.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [FESTO_SYSINFO] C:\WINNT\CMD\CC\CC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Standard\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ENISysTray] C:\Program Files\3S Software\CoDeSys ENI Server\ENISysTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1614895754-484763869-682003330-24929\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'de9is20')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet.beck-ipc.com
O15 - Trusted Zone: http://festo.3uu.de
O15 - Trusted Zone: http://*.agentanews.de
O15 - Trusted Zone: http://*.clientoperation.com
O15 - Trusted Zone: http://*.dachser.com
O15 - Trusted Zone: http://festo.3uu.de (HKLM)
O15 - Trusted Zone: http://*.agentanews.de (HKLM)
O15 - Trusted Zone: http://*.clientoperation.com (HKLM)
O15 - Trusted Zone: http://*.dachser.com (HKLM)
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} (Cnsweb3d Control) - http://sdet2225.de.festo.net/fastpreview/cnsweb3d.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de.festo.net
O17 - HKLM\Software\..\Telephony: DomainName = de.festo.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BFBDCDA-3A04-4D94-B0A4-331463A2981B}: Domain = de.festo.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BFBDCDA-3A04-4D94-B0A4-331463A2981B}: NameServer = 172.30.1.2,10.11.2.2,10.11.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = de.festo.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = de.festo.net
O20 - AppInit_DLLs: C:\PROGRA~1\NetInst\NiAMH.dll
O20 - Winlogon Notify: pmkjj - C:\WINNT\system32\pmkjj.dll
O20 - Winlogon Notify: yabyayx - C:\WINNT\SYSTEM32\yabyayx.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ENI Server - 3S-Smart Software Solutions GmbH - C:\Program Files\3S Software\CoDeSys ENI Server\ENI.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Lotus Notes Single Logon - IBM Corp - C:\Program Files\Lotus\Notes\nslsvice.exe
O23 - Service: NetInstall Service (NIAIServ) - enteo Software GmbH - C:\Program Files\NetInst\NiAiServ.exe
O23 - Service: NetInstall Executive (NiExServ) - enteo Software GmbH - C:\Program Files\NetInst\NiExServ.exe
O23 - Service: RT Service 3S KM (RTService) - 3S-Smart Software Solutions GmbH - C:\Program Files\3S Software\CoDeSys SP RTE\RTService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe
O23 - Service: WFConfigService - - C:\Program Files\festo\wfcfgsvc\wfcfgsvc.exe

--
End of file - 11278 bytes
Und die Datfile.Bat:

Zitat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4468-1679

Verzeichnis von C:\WINNT\system32

2007-08-24 16:02 7,037 jjkmp.ini
2007-08-24 10:34 6,473 jjkmp.bak1
2007-08-24 10:34 298,080 pmkjj.dll
2007-08-24 10:28 93,184 drvduc.dll
2007-08-24 10:28 43,542 yabyayx.dll
2007-08-24 09:27 2,206 wpa.dbl
2007-08-16 12:49 220,840 FNTCACHE.DAT
2007-08-16 12:10 420,228 perfh009.dat
2007-08-16 12:10 68,952 perfc009.dat
2007-08-16 12:10 490,506 PerfStringBackup.INI
2007-08-03 06:34 16,789,464 MRT.exe
2007-07-22 18:39 279,552 swreg.exe
2007-07-19 08:59 3,583,488 mshtml.dll
2007-07-18 13:07 5,222 jupdate-1.6.0_02-b06.log
2007-07-12 02:22 139,264 javaws.exe
2007-07-12 02:22 69,632 javacpl.cpl
2007-07-12 01:22 135,168 javaw.exe
2007-07-12 01:22 135,168 java.exe
2007-06-27 16:34 232,960 webcheck.dll
2007-06-27 16:34 823,808 wininet.dll
2007-06-27 16:34 671,232 mstime.dll
2007-06-27 16:34 1,152,000 urlmon.dll
2007-06-27 16:34 102,400 occache.dll
2007-06-27 16:34 105,984 url.dll
2007-06-27 16:34 193,024 msrating.dll
2007-06-27 16:34 477,696 mshtmled.dll
2007-06-27 16:34 52,224 msfeedsbs.dll
2007-06-27 16:34 1,824,256 inetcpl.cpl
2007-06-27 16:34 459,264 msfeeds.dll
2007-06-27 16:34 27,648 jsproxy.dll
2007-06-27 16:34 267,776 iertutil.dll
2007-06-27 16:34 44,544 iernonce.dll
2007-06-27 16:34 6,058,496 ieframe.dll
2007-06-27 16:34 124,928 advpack.dll
2007-06-27 16:34 384,512 iedkcs32.dll
2007-06-27 16:34 153,088 ieakeng.dll
2007-06-27 16:34 230,400 ieaksie.dll
2007-06-27 16:34 383,488 ieapfltr.dll
2007-06-27 16:34 132,608 extmgr.dll
2007-06-27 10:27 13,824 ieudinit.exe
2007-06-27 10:27 63,488 ie4uinit.exe
2007-06-27 09:00 161,792 ieakui.dll
2007-06-26 08:08 1,104,896 msxml3.dll
2007-06-19 15:31 282,112 gdi32.dll
2007-06-05 11:06 2,634 CONFIG.NT
2007-06-05 11:04 383 haspdos.sys
2007-06-05 11:04 6,656 haspvdd.dll
2288 Datei(en) 476,017,922 Bytes
0 Verzeichnis(se), 6,157,611,008 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4468-1679

Verzeichnis von C:\DOCUME~1\krth\LOCALS~1\Temp

2007-08-24 16:02 112,352 datfind.txt
1 Datei(en) 112,352 Bytes
0 Verzeichnis(se), 6,157,627,392 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4468-1679

Verzeichnis von C:\WINNT

2007-08-24 16:02 15,665 WindowsFirewall.log
2007-08-24 16:01 1,048,641 WindowsFirewall.log.old
2007-08-24 15:53 550 ODBC.INI
2007-08-24 15:39 468 SMSCFG.ini
2007-08-24 15:38 0 0.log
2007-08-24 15:37 1,543,001 WindowsUpdate.log
2007-08-24 15:36 2,048 bootstat.dat
2007-08-24 15:35 24,458 SchedLgU.Txt
2007-08-24 15:05 705 win.ini
2007-08-24 15:05 227 system.ini
2007-08-24 11:09 168,661 setupapi.log
2007-08-24 10:17 54 digi-map.ini
2007-08-24 10:16 6,860 msim_evl.ini
2007-08-17 17:39 216 wiadebug.log
2007-08-17 15:06 50 wiaservc.log
2007-08-17 11:45 51 CoDeSysOPC.ini
2007-08-17 10:59 2,159 wdiff.ini
2007-08-17 10:33 122,177 unins000.dat
2007-08-17 10:33 684,313 unins000.exe
2007-08-17 09:18 8,875 spupdsvc.log
2007-08-17 09:12 80,388 ntdtcsetup.log
2007-08-17 09:12 904,420 iis6.log
2007-08-17 09:12 135,200 comsetup.log
2007-08-17 09:12 20,677 ocmsn.log
2007-08-17 09:12 59,400 tabletoc.log
2007-08-17 09:12 1,374 imsins.log
2007-08-17 09:12 371,338 tsoc.log
2007-08-17 09:12 24,404 KB936021.log
2007-08-17 09:12 141,414 netfxocm.log
2007-08-17 09:12 387,544 ocgen.log
2007-08-17 09:12 55,887 MedCtrOC.log
2007-08-17 09:12 40,374 msgsocm.log
2007-08-17 09:12 802,467 FaxSetup.log
2007-08-17 09:12 252,092 msmqinst.log
2007-08-17 09:12 73,705 updspapi.log
2007-08-17 09:12 1,374 imsins.BAK
2007-08-17 09:12 23,606 KB938828.log
2007-08-17 09:11 24,288 KB920342.log
2007-08-17 09:11 17,341 KB921503.log
2007-08-17 09:11 17,143 KB938829.log
2007-08-17 09:11 514,280 msxml6-KB933579-enu-x86.LOG
2007-08-17 09:10 17,090 KB916846.log
2007-08-17 09:09 22,073 KB937143-IE7.log
2007-08-17 09:09 12,308 KB938127-IE7.log
2007-08-17 09:08 289,750 msxml4-KB936181-enu.LOG
2007-08-17 09:08 9,066 KB936782.log
2007-08-17 09:08 42,116 wmsetup.log
2007-08-16 16:09 35,508 KB929969.log
2007-08-16 16:09 22,098 KB933566-IE7.log
2007-08-16 12:35 20,278 ie7_main.log
2007-08-16 12:33 57,637 ie7.log
2007-08-16 12:27 9,537 IDNMitigationAPIs.log
2007-08-16 12:26 9,239 NLSDownlevelMapping.log
2007-08-16 12:25 18,028 KB915865.log
2007-08-16 12:16 276,572 KB917013.log
2007-08-16 12:13 8,186 KB915800.log
2007-08-15 17:31 20,992 Thumbs.db
2007-08-10 12:29 54,156 QTFont.qfn
2007-08-09 12:41 286,720 mpppuninstall.exe
2007-08-07 16:25 0 QuickInstall.INI
2007-07-30 08:02 36,678 setup15.bmp
2007-07-20 00:47 109,056 catchme.exe
2007-07-17 15:29 47 DEXP5_0.INI
2007-07-16 12:46 12,430 KB936357.log
2007-06-26 08:08 6,666 KB907247.log
2007-06-18 18:31 11,319 KB927891.log
2007-06-18 18:31 32,222 KB933566.log
2007-06-18 18:30 12,279 KB929123.log
2007-06-18 18:30 11,629 KB935840.log
2007-06-18 18:29 11,611 KB935839.log
2007-06-17 00:11 51,200 nircmd.exe
2007-06-14 03:49 19 DEXP7_0.INI
2007-06-13 12:23 1,033,216 explorer.exe
2007-06-13 10:43 2,213 OEWABLog.txt
2007-06-05 11:04 1,815 aksdrvsetup.log
2007-05-24 15:07 5,155 WIC.log
2007-05-14 09:57 18,504 KB931768.log
2007-05-14 09:55 10,964 KB930916.log
290 Datei(en) 26,877,677 Bytes
0 Verzeichnis(se), 6,157,611,008 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4468-1679

Verzeichnis von C:\WINNT\temp

2007-08-24 15:37 85 vmware-vmount.log
2007-08-24 15:37 16,384 Perflib_Perfdata_654.dat
2 Datei(en) 16,469 Bytes
0 Verzeichnis(se), 6,157,611,008 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4468-1679

Verzeichnis von C:\WINNT\Downloaded Program Files

2007-04-16 17:30 206 VE3DInstall.inf
2007-03-28 11:11 65 desktop.ini
2000-01-20 15:25 1,162 Microsoft XML Parser for Java.osd
3 Datei(en) 1,433 Bytes
0 Verzeichnis(se), 6,157,611,008 Bytes frei
.
.
.
Ich hoffe, Ihr könnt mir helfen. Vielen Dank!

Gruß

Gwion
Seitenanfang Seitenende
24.08.2007, 16:52
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

Bitte folgende Files prüfen:

Zitat

C:\WINNT\system32\drivers\SysDrv3S.sys
C:\PROGRA~1\NetInst\NiAMH.dll
C:\WINNT\System32\dimsntfy.dll
Narrator.exe (Suchen wo es sich befindet)
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren)
--> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den
Text markieren -> kopieren - einfügen

Falls eines der Files erkannt wird, unten bei Files to delete reinkopieren (mit vollem Pfad).

Lösche den folgenden Job (ausser er stammt von Dir):
C:\WINDOWS\Tasks\A8E01683918B8A7F.job - c:\dokume~1\matz\anwend~1\objbone\COPY MODE LOGO.exe


Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat



registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yabyayx


Files to delete:
C:\WINNT\system32\jjkmp.bak1
C:\WINNT\system32\pmkjj.dll
C:\WINNT\system32\drvduc.dll
C:\WINNT\system32\yabyayx.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat


O2 - BHO: (no name) - {3088F9C5-1615-4A0B-88B7-E818FA391A2B} - C:\WINNT\system32\yabyayx.dll
O2 - BHO: (no name) - {DA36B99A-C2BF-455F-BE50-A21CABE82407} - C:\WINNT\system32\pmkjj.dll
O20 - Winlogon Notify: pmkjj - C:\WINNT\system32\pmkjj.dll
O20 - Winlogon Notify: yabyayx - C:\WINNT\SYSTEM32\yabyayx.dll



Dann bitte ein scan mit:Cureit
Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Poste alle Logs und ein neues HJ-Log.


Chris
Seitenanfang Seitenende
24.08.2007, 17:40
...neu hier

Themenstarter

Beiträge: 4
#3 Vielen Dank für Deine Hilfe, Chris.

Die Onlineüberprüfung der vier Dateien war ohne Befund.

Der Avenger ist gelaufen und hat ein leeres Logfile erzeugt. (ist das richtig?)

Ich weiss nicht, wie ich den von Dir genannten Job löschen soll.

Ich werde wohl aber sowieso erst am Montag dazu kommen, hier weiter zu machen.

Schönes Wochenende!

Gruß

Gwion
Seitenanfang Seitenende
27.08.2007, 07:54
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

nein, Avenger sollte ein Logfile erzeugen in dem drin steht ob er löschen konnte oder nicht etc.

Hast Du eventuell "Zitati" mit reinkompiert?

Den Job löschen: Einfach dem Pfad folgen und die Datei löschen....

Chris
Seitenanfang Seitenende
27.08.2007, 12:49
...neu hier

Themenstarter

Beiträge: 4
#5 Hallöchen und schöne neue Woche...

Der Avenger hatte tatsächlich ein Log erzeugt. Hier ist es:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\denaywsa

*******************

Script file located at: \??\C:\Program Files\hallprpo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINNT\system32\jjkmp.bak1 deleted successfully.
File C:\WINNT\system32\pmkjj.dll deleted successfully.
File C:\WINNT\system32\drvduc.dll deleted successfully.
File C:\WINNT\system32\yabyayx.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yabyayx deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
So, dann das Cureit Log: Im Anhang

Und das neue Hijack:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44, on 2007-08-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Lotus\Notes\nslsvice.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\VMware\VMware Player\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINNT\system32\vmnat.exe
C:\Program Files\festo\wfcfgsvc\wfcfgsvc.exe
C:\Program Files\3S Software\CoDeSys ENI Server\ENI.exe
C:\WINNT\system32\vmnetdhcp.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINNT\CMD\CC\CC.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Adobe\Acrobat 7.0\Standard\Distillr\Acrotray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\3S Software\CoDeSys ENI Server\ENISysTray.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\acrobat_sl.exe
C:\Program Files\Adobe\Reader\reader_sl.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\palmOne\HOTSYNC.EXE
C:\WINNT\system32\SearchIndexer.exe
C:\Program Files\Opera\Opera.exe
C:\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.beck-ipc.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.beck-ipc.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://adewww26.de.festo.net/proxy/proxy_beck.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = vdeprxhv.de.festo.net:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ade*;sde*;*.festo.com;*.festo.de;*.festo.net;10.*;141.130.*;172.31.*;teleservice.imt.zeiss.de;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\Standard\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [FESTO_SYSINFO] C:\WINNT\CMD\CC\CC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Standard\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ENISysTray] C:\Program Files\3S Software\CoDeSys ENI Server\ENISysTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1614895754-484763869-682003330-24929\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'de9is20')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 7.0\Standard\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet.beck-ipc.com
O15 - Trusted Zone: http://festo.3uu.de
O15 - Trusted Zone: http://*.agentanews.de
O15 - Trusted Zone: http://*.clientoperation.com
O15 - Trusted Zone: http://*.dachser.com
O15 - Trusted Zone: http://festo.3uu.de (HKLM)
O15 - Trusted Zone: http://*.agentanews.de (HKLM)
O15 - Trusted Zone: http://*.clientoperation.com (HKLM)
O15 - Trusted Zone: http://*.dachser.com (HKLM)
O16 - DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} (Cnsweb3d Control) - http://sdet2225.de.festo.net/fastpreview/cnsweb3d.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de.festo.net
O17 - HKLM\Software\..\Telephony: DomainName = de.festo.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BFBDCDA-3A04-4D94-B0A4-331463A2981B}: Domain = de.festo.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BFBDCDA-3A04-4D94-B0A4-331463A2981B}: NameServer = 172.30.1.2,10.11.2.2,10.11.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = de.festo.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = de.festo.net
O20 - AppInit_DLLs: C:\PROGRA~1\NetInst\NiAMH.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ENI Server - 3S-Smart Software Solutions GmbH - C:\Program Files\3S Software\CoDeSys ENI Server\ENI.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Lotus Notes Single Logon - IBM Corp - C:\Program Files\Lotus\Notes\nslsvice.exe
O23 - Service: NetInstall Service (NIAIServ) - enteo Software GmbH - C:\Program Files\NetInst\NiAiServ.exe
O23 - Service: NetInstall Executive (NiExServ) - enteo Software GmbH - C:\Program Files\NetInst\NiExServ.exe
O23 - Service: RT Service 3S KM (RTService) - 3S-Smart Software Solutions GmbH - C:\Program Files\3S Software\CoDeSys SP RTE\RTService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe
O23 - Service: WFConfigService - - C:\Program Files\festo\wfcfgsvc\wfcfgsvc.exe

--
End of file - 11070 bytes
Vielen Dank für die Hilfe.

Einzige Frage: Auf diesem Rechner gibt es keinen user "matz" Wo hast Du das her?

Gruß

Gwion

Anhang: CureIt.txt
Seitenanfang Seitenende
27.08.2007, 13:10
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

ich denke solche Sachen wie "psgetsid.exe" sind von Sysinternals, oder?
Sieht OK aus, bitte abschließend noch folgendes durchführen:

Backups von Avenger&Co löschen:
C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren

Systemwiederherstellung löschen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Chris

Ps:
Matz: c:\dokume~1\matz\anwend~1
Seitenanfang Seitenende
27.08.2007, 13:41
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Chris,

nochmals vielen Dank für Deine Hilfe. Zu Deinem "PS" Das war schon klar, aber ich konnte das in den Logdateien nicht finden... (Und auf meinem Rechner auch nicht...)

Nichts für ungut.

Gruß

Gwion

P.S.: Gibt es eine Möglichkeit, den Fred hier zu löschen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: