wieder Security Toolbar 7.1 (altes Topic leider schon geschlossen)

#0
16.11.2007, 08:01
Member

Beiträge: 32
#1 Hab mir leider diese Toolbar eingefangen und die ist ja leider nur der Gipfel vom Eisberg.

Bekomm den Mist mit konventionellen Mittel (z.B. "SuperAntispyware" - hätte helfen sollen) zwar erkannt, aber nicht gelöscht.

Ich häng mal das Hijackthis-log und dann noch dass Combofix-Log an.

Ich weiß, dass es ein Fehler ist, SP2 nicht drauf zu haben. Wills gelich drauf machen wenn wieder alles sauber ist.

Wäre sehr nett wenn mir jemand helfen kann.


O.k., immer noch keine Antwort auf den eigenen Post erlaubt und nur ein Anhang möglich => Combofix:

ComboFix 07-11-08.1 - Florian 2007-11-15 22:59:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.222 [GMT 1:00]
ausgeführt von:: D:\Eigene Dateien\Vir.Remove\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator.KOMI.001\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\Administrator.KOMI.001\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Administrator.KOMI.001\Favoriten\Online Security Guide.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\install_en[1].exe
C:\Dokumente und Einstellungen\Florian\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\Florian\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Florian\Favoriten\Online Security Guide.lnk
C:\WINDOWS\system32\__c0085FC9.dat
C:\WINDOWS\system32\__c00927F9.dat
C:\WINDOWS\system32\__c00DCE25.dat
C:\WINDOWS\system32\__c00E7DA2.dat
C:\WINDOWS\system32\atovvyda.dll
C:\WINDOWS\system32\ccbeg.bak1
C:\WINDOWS\system32\ccbeg.bak2
C:\WINDOWS\system32\ccbeg.ini
C:\WINDOWS\system32\ccbeg.ini2
C:\WINDOWS\system32\ccbeg.tmp
C:\WINDOWS\system32\gebcc.dll
C:\WINDOWS\system32\geekvobw.dll
C:\WINDOWS\system32\iubddgqr.dll
C:\WINDOWS\system32\jobmwwcj.dll
C:\WINDOWS\system32\jwyyduvm.dllbox
C:\WINDOWS\system32\jxwrsibg.dll
C:\WINDOWS\system32\wsbtrbxo.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_SCSIPSRVC
-------\DomainService
-------\scsipsrvc


((((((((((((((((((((((( Dateien erstellt von 2007-10-15 bis 2007-11-15 ))))))))))))))))))))))))))))))
.

2007-11-15 22:57 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.KOMI.001\Anwendungsdaten\SUPERAntiSpyware.com
2007-11-15 21:27 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-11-15 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SUPERAntiSpyware.com
2007-11-15 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2007-11-14 22:25 <DIR> d-------- C:\WINDOWS\ERUNT
2007-11-14 22:22 1,208,569 --a------ C:\SDFix.exe
2007-11-14 21:34 85,056 --a------ C:\WINDOWS\system32\lmvthove.dll
2007-11-14 21:34 71,232 --a------ C:\WINDOWS\system32\dhjogpbx.exe
2007-11-14 21:28 71,232 --a------ C:\WINDOWS\system32\kwscckqr2.exe
2007-11-14 21:06 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-11-14 21:06 298,104 --a------ C:\WINDOWS\system32\imon.dll
2007-11-14 21:06 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2007-11-14 20:51 1,007,104 --a------ C:\WINDOWS\Kopie von explorer.exe
2007-11-14 20:49 1,007,104 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-11-14 20:49 1,007,104 --a------ C:\WINDOWS\explorer.exe
2007-11-13 22:11 <DIR> d-------- C:\Programme\Trend Micro
2007-11-13 21:42 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-13 21:42 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-11-13 21:42 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-13 21:42 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-13 21:42 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-13 21:42 2,342 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-12 22:10 <DIR> d-------- C:\kav
2007-11-12 21:36 23,552 --a------ C:\WINDOWS\system32\drivers\phooks.sys
2007-11-12 21:35 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Pavark
2007-11-11 21:39 88,128 --a------ C:\WINDOWS\system32\wqwuxbwo.dll
2007-11-11 21:38 79,936 --a------ C:\WINDOWS\system32\xvjvlavt.dll
2007-11-11 21:31 145,984 --------- C:\WINDOWS\system32\jwyyduvm.dll
2007-11-11 21:30 145,984 --a------ C:\WINDOWS\system32\nrfpcwwc.dll
2007-11-10 17:15 <DIR> d-------- C:\Programme\Incomplete
2007-11-10 17:11 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-10 17:09 36,352 --a------ C:\WINDOWS\system32\yaywxvt.dll
2007-11-10 16:23 307,200 --a------ C:\Programme\xp-AntiSpy.exe
2007-10-20 22:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cone Layout
2007-10-20 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\LimeWire
2007-10-20 22:05 <DIR> d-------- C:\Programme\LimeWire

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-14 20:17 --------- d-----w C:\Programme\RegCleaner
2007-11-14 19:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-10 16:11 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\FrostWire
2007-11-10 15:27 --------- d-----w C:\Programme\XPcleanv5
2007-10-24 20:33 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\AdobeUM
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-11 21:31 145984 --------- C:\WINDOWS\SYSTEM32\jwyyduvm.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\SYSTEM32\jwyyduvm.dll [2007-11-11 21:31 145984]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 09:04]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2007-11-14 21:03]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUpUtilities2006\MemOptimizer.exe" [2005-08-24 02:29]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"="cstyp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jwyyduvm]
jwyyduvm.dll 2007-11-11 21:31 145984 C:\WINDOWS\system32\jwyyduvm.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\gebcc.dll

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys
R0 phooks;phooks;C:\WINDOWS\System32\drivers\phooks.sys
R3 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\System32\DRIVERS\WDMCAPI.sys
R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\System32\DRIVERS\wdmwanmp.sys
S4 a2AntiDialer;a-squared Anti-Dialer Service;C:\Programme\a-squared Anti-Dialer\a2service.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-10 18:06:54 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 23:06:42
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-15 23:07:27 - machine was rebooted
.
--- E O F ---

Dieser Beitrag wurde am 16.11.2007 um 08:05 Uhr von Komalainen editiert.
Seitenanfang Seitenende
16.11.2007, 08:36
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

das sieht nicht gut aus, jede Menge übrig...
Das mit der Spitze des Eisbergs trifft es gut, vielleicht gleich besser neu aufsetzten?
Notdürftige Reinigung folgt gleich...

Chris
Seitenanfang Seitenende
16.11.2007, 08:44
Member
Avatar Chris4You

Beiträge: 694
#3 Hi,


Bitte folgende Files prüfen:

Zitat

C:\WINDOWS\system32\drivers\phooks.sys
C:\WINDOWS\system32\kwscckqr2.exe
C:\WINDOWS\system32\lmvthove.dll

cstyp.exe <- suchen

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Falls eines der Files nicht erkannt wird, unten beim Avenger rausnehmen!


Also:
Avenger
Abgesicherter Modus, keine anderen Programme am Laufen, Teatimer deaktivieren!
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jwyyduvm


Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\System32\__c0085FC9.dat
C:\WINDOWS\System32\kwscckqr.exe
C:\WINDOWS\SYSTEM32\jwyyduvm.dll
C:\WINDOWS\System32\gebcc.dll
C:\WINDOWS\system32\wqwuxbwo.dll
C:\WINDOWS\system32\xvjvlavt.dll
C:\WINDOWS\system32\jwyyduvm.dll
C:\WINDOWS\system32\nrfpcwwc.dll
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\dhjogpbx.exe

C:\WINDOWS\system32\kwscckqr2.exe
C:\WINDOWS\system32\lmvthove.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat


O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\kwscckqr.exe (file missing)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\SYSTEM32\jwyyduvm.dll


Deine Javasoftware ist veraltet,
Download jre-6u2-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe”

Danach bitte das hier abarbeiten:
http://board.protecus.de/t29350.htm
Poste das Log und ein neues HJ-Log...

Chris
Dieser Beitrag wurde am 16.11.2007 um 09:06 Uhr von Chris4You editiert.
Seitenanfang Seitenende
17.11.2007, 10:10
Member

Themenstarter

Beiträge: 32
#4 Hier erstmal die Untersuchungsberichte aus Virustotal. Der Rest kommt später.
Vrsteh nicht ganz was Du mit "cstyp.ex <- suchen" meinst ? Wie, wo ?


Datei phooks.sys empfangen 2007.11.17 09:50:26 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.17 -
Avast 4.7.1074.0 2007.11.16 -
AVG 7.5.0.503 2007.11.17 -
BitDefender 7.2 2007.11.17 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.17 -
DrWeb 4.44.0.09170 2007.11.17 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5302 2007.11.17 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.17 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.17 -
Kaspersky 7.0.0.125 2007.11.17 -
McAfee 5165 2007.11.16 -
Microsoft 1.3007 2007.11.17 -
NOD32v2 2665 2007.11.17 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.17 -
Prevx1 V2 2007.11.17 -
Rising 20.18.50.00 2007.11.17 -
Sophos 4.23.0 2007.11.17 -
Sunbelt 2.2.907.0 2007.11.17 -
Symantec 10 2007.11.17 -
TheHacker 6.2.9.132 2007.11.16 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 -
Webwasher-Gateway 6.0.1 2007.11.16 -

weitere Informationen
File size: 23552 bytes
MD5: bf017d9a12d049fde1591f9f96c63431
SHA1: e0632f3e62c00445d4b514a5f254b3b00dcab8d4
_______________________________________________________________

Datei kwscckqr2.exe empfangen 2007.11.17 09:59:01 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.17.0 2007.11.16 Win-Trojan/Fotomoto.71232
AntiVir 7.6.0.34 2007.11.16 TR/Fotomoto.F.1
Authentium 4.93.8 2007.11.17 -
Avast 4.7.1074.0 2007.11.16 -
AVG 7.5.0.503 2007.11.17 Obfustat.VUL
BitDefender 7.2 2007.11.17 Trojan.Fotomoto.F
CAT-QuickHeal 9.00 2007.11.16 Trojan.Obfuscated.kp
ClamAV 0.91.2 2007.11.17 Trojan.Agent-9085
DrWeb 4.44.0.09170 2007.11.17 Trojan.EzulaAd
eSafe 7.0.15.0 2007.11.14 Suspicious File
eTrust-Vet 31.2.5302 2007.11.17 Win32/Abetear.H
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.17 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 Trojan.Win32.Obfuscated.kp
Ikarus T3.1.1.12 2007.11.17 Trojan.Fotomoto.F
Kaspersky 7.0.0.125 2007.11.17 Trojan.Win32.Obfuscated.kp
McAfee 5165 2007.11.16 Vundo.dr
Microsoft 1.3007 2007.11.17 -
NOD32v2 2665 2007.11.17 Win32/Adware.Ezula
Norman 5.80.02 2007.11.16 W32/Virtumonde.IIO
Panda 9.0.0.4 2007.11.17 Spyware/Virtumonde
Prevx1 V2 2007.11.17 ADWARE.FOTOMOTO.F
Rising 20.18.50.00 2007.11.17 -
Sophos 4.23.0 2007.11.17 -
Sunbelt 2.2.907.0 2007.11.17 -
Symantec 10 2007.11.17 Adware.Ezula
TheHacker 6.2.9.132 2007.11.16 Trojan/Obfuscated.kp
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Fotomoto.F.1

weitere Informationen
File size: 71232 bytes
MD5: fa09c66e108743a844dfe1923f132d74
SHA1: 1d276c213c2ca37081d9e187064d8ed05748780c
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=43CE5E4C40E6C39B16680193ADD46E0054A1BC4D
_______________________________________________________

Datei lmvthove.dll empfangen 2007.11.17 10:06:35 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 TR/Vundo.AU
Authentium 4.93.8 2007.11.17 -
Avast 4.7.1074.0 2007.11.16 -
AVG 7.5.0.503 2007.11.17 Lop
BitDefender 7.2 2007.11.17 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.17 -
DrWeb 4.44.0.09170 2007.11.17 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5302 2007.11.17 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.17 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.17 not-a-virus:AdWare.Win32.Virtumonde.aps
Kaspersky 7.0.0.125 2007.11.17 not-a-virus:AdWare.Win32.Virtumonde.aps
McAfee 5165 2007.11.16 -
Microsoft 1.3007 2007.11.17 -
NOD32v2 2665 2007.11.17 -
Norman 5.80.02 2007.11.16 W32/Virtumonde.IME
Panda 9.0.0.4 2007.11.17 -
Prevx1 V2 2007.11.17 Trojan.Vundo
Rising 20.18.50.00 2007.11.17 -
Sophos 4.23.0 2007.11.17 -
Sunbelt 2.2.907.0 2007.11.17 -
Symantec 10 2007.11.17 Trojan.Vundo
TheHacker 6.2.9.132 2007.11.16 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Vundo.AU

weitere Informationen
File size: 85056 bytes
MD5: 4bea8eb4ba37ccb6dc9258641ab05ec9
SHA1: 29534e371d2436c10fb07d2aa828a2ba3ab876c3
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=27FE2CC940AA4F114C82011F89EA8700D48A0D7F
__________________________________________________________
Seitenanfang Seitenende
17.11.2007, 13:43
Member

Beiträge: 202
#5 die datei cstyp.exe <- suchen
über die windows funftion suchen

start - suchen
dort dateien und ordner auswählen

Unterpunkt - Weitere Optionen - Versteckte elemente durchsuchen , Systemordner dursuchen und unterordner durchsuchen aktivieren dann im suchfenster

cstyp.exe eingeben wenn die datei gefunden würd bei virustotal oder Jotti untersuchen
Seitenanfang Seitenende
17.11.2007, 15:58
Member

Themenstarter

Beiträge: 32
#6 So, da bin ich wieder. Hat glaube ich leider nicht alles so einwandfrei funktioniert. Die cstyp.exe wurde nicht gefunden.

Hier das Log vom Dr.Web:

eim.exe;c:\windows\system32;Win32.HLLW.MyBot;Verschoben.;
FND0.NFI;C:\Programme\ESET\cache;Win32.HLLW.MyBot;Gelöscht.;
install_en[1].exe.vir;C:\qoobox\Quarantine\C\Dokumente und Einstellungen\Florian\Anwendungsdaten;Trojan.DownLoader.36408;Gelöscht.;
Process.exe;C:\SDFix\apps;Tool.Prockill;Verschoben.;
A0000013.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP2;Trojan.DownLoader.36408;Gelöscht.;
A0002099.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP2;Trojan.EzulaAd;Gelöscht.;
A0002101.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP2;Trojan.EzulaAd;Gelöscht.;
A0002241.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Win32.HLLW.MyBot;Gelöscht.;
A0002242.exe;C:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Tool.Prockill;Verschoben.;
Process.exe;C:\WINDOWS\system32;Tool.Prockill;Verschoben.;
Process.exe;D:\Eigene Dateien\Vir.Remove\SmitfraudFix;Tool.Prockill;Verschoben.;
restart.exe;D:\Eigene Dateien\Vir.Remove\SmitfraudFix;Tool.ShutDown.11;Verschoben.;
A0002244.exe;D:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Tool.Prockill;Verschoben.;
A0002245.exe;D:\System Volume Information\_restore{D1B849AD-3ACC-4188-96F2-2D5EBB0D7E4D}\RP4;Tool.ShutDown.11;Verschoben.;
A0001917.exe;E:\System Volume Information\_restore{0C3E027F-D109-473D-9414-C15E0F989257}\RP9;Tool.ASEye.2;Verschoben.;
_____________________________________________________________

Und anbei das Hijackthis-Log.

Nicht mehr dabei war "O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\kwscckqr.exe (file missing)"
konnte ich also auch nicht fixen.

Dafür kommt mir dies nicht so ganz astrein vor:

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\SYSTEM32\jwyyduvm.dll (file missing)

Auch fixen ?

Seitenanfang Seitenende
17.11.2007, 17:35
Member

Beiträge: 202
#7 Schalte mal die systemwiederherstellung ab
http://www.bsi.de/av/texte/wiederher.htm



Oder frende dich wirklisch mit ner neuinstallation an is wahrscheinlisch einfacher.
Seitenanfang Seitenende
17.11.2007, 17:53
Member

Themenstarter

Beiträge: 32
#8 Und anschließend alles nochmal durchführen ? oder was ist zu tun ?
Seitenanfang Seitenende
18.11.2007, 09:37
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Entferne auf C:\ Qoobox-->Papierkorb leeren

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /u OK

Download ComboFix nochmal
ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 17:39
Member

Themenstarter

Beiträge: 32
#10 Hi Arnold, hab plötzlich ein Problem mit Combofix.
Hab alles so gemacht, jedoch kommt beim Starten immer folgende Fehlermeldung:

"Jetziges Datum ist 18.11.2007. Diese Kopie von Combofix ist abgelaufen. Lösche diese Kopie bevor Du eine neue Version herunterlädst."

Was soll ich da tun ?


Ach ja, noch was: Mein Media Player funktioniert auch nicht mehr und läßt sich nicht mehr neu installieren.

SP2 hab ich mittlerweile drauf gemacht.
Seitenanfang Seitenende
18.11.2007, 18:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Versuch es nochmal ;)
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 20:42
Member

Themenstarter

Beiträge: 32
#12 So, diesmal hats funktioniert - Danke. Hier die Logs:

Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:58, on 18.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) -
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3768 bytes

Anhang: log.txt
Seitenanfang Seitenende
18.11.2007, 20:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) –

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Poste nochmal die Daten von Datfindbat http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 21:35
Member

Themenstarter

Beiträge: 32
#14 So, erledigt.

Datfind-Log im Anhang.


Kannst Du mir noch nen Tip geben, wieso ich den Mediaplayer nicht mehr installiert bekomm ("...wurde nicht odrnungsgemäß installiert...") ? - wenn nicht, ists auch nicht schlimm. Bin Dir so und so für die Hilfe dankbar.

Anhang: datfind.txt
Seitenanfang Seitenende
18.11.2007, 22:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Ueber Mediaplayer kann ich nichts sagen,benutze Spider player http://spider-player.com/
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: