Spyware detected on your computer

#31 Könntest du mir bitte den letzten Hinweis mit dem Desktop genauer erklären, weil es irgendwie nicht klappt... Und mein Desktop lässt sich nicht ändern :-(

Vielen lieben Dank für deine Hilfe bislang!!! Du hast mir echt geholfen :-)))
LG

#32 Hallo leila83

Hier eine bebilderte Anleitung dazu :

http://www.windowspage.de/gemeinsame/desktop/anzeige/nodispbackgroundpage.html

Zitat

Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert". Geben Sie nun den Namen "NoDispBackgroundPage" ein.
Ändern Sie den Wert ggf. von "1" auf "0".
Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Gruss Swiss

#33 VIELEN DANK!!! IHR SEID GENIES!!! :-**

#34 Dann wieder viel Spass mit deinem System

Gruss Swiss

#35 Hallo ! Ich habe ein ähnliches Problem und komme einfach nicht mehr weiter.
Bei mir erschein ein blauer Bildschirm mit gelben Fenster "Warning Spyware detected on your computer Install an Antivirus or spyware remover to clean your computer. Außerdem öffnen sich hier ganz viele Fenster. Habe schon ein bischen selber rumgetrickst aber das half nichts. Smitfraudfix lässt sich auf die Registry datei nicht anwenden, da kommt die melder der Administrator verweigert die Änderung der Registrierung.
Ich habe jetz mal dieses HiJack ausgeführt unten seht ihr das Ergebnis.
Hoffentlich hilft mir jemand:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:18, on 05.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Office Keyboard Driver\PS2USBKbdDrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mrofinu2000352.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\DOKUME~1\Manuel\LOKALE~1\Temp\csrssc.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\Office Keyboard Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\winlogan.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Dokumente und Einstellungen\Manuel\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Dokumente und Einstellungen\Manuel\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: userinit.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {3D58ADF1-2986-4B11-AA79-6D427F004F08} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111000070881
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab
O18 - Protocol: ecowin - {6152AF4B-A2CE-4A83-A305-E2139D12F3E0} - "C:\Programme\Gemeinsame Dateien\Vinga System\EWDBI2.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10971 bytes

#36 mod85

««
deaktiviere kurzzeitig:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

««
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

««
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\mrofinu2000352.exe
C:\WINDOWS\system32\jfiehayd.dll
C:\Dokumente und Einstellungen\Manuel\svchost.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe
C:\Dokumente und Einstellungen\Manuel\Lokale Einstellungen\Temp\csrssc.exe
C:\Dokumente und Einstellungen\Manuel\Lokale Einstellungen\Temp\winlogan.exe

Klicke auf den Roten MoveIt!

-------------------------------------------------------------

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe

O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\winlogan.exe

O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe

O4 - HKLM\..\Run: [winlogon] C:\Dokumente und Einstellungen\Manuel\svchost.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\winlogan.exe

O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe

O4 - HKCU\..\Run: [winlogon] C:\Dokumente und Einstellungen\Manuel\svchost.exe

O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Manuel\LOKALE~1\Temp\csrssc.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user')

O4 - Startup: userinit.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll

O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

PC neustarten

««
wende Combofix an, klicke die Warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Wow das ging ja fix, schon mal vielen Dank. Nach allen Schritten ist nun noch ein blauerHintergrund übrig ohne diese Warnmeldung. Hier der Bericht:

ComboFix 08-07-05.1 - Manuel 2008-07-06 11:20:08.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.98 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Manuel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\userinit.exe
C:\Dokumente und Einstellungen\All Users\Desktop\AntiSpywareBot.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot on the Web.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot.lnk
C:\Dokumente und Einstellungen\LocalService\ftpdll.dll
C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\AntispywareBot
C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\AntispywareBot\Log\2008 Jul 05 - 07_58_44 PM_297.log
C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\install.dat
C:\Dokumente und Einstellungen\Manuel\ftpdll.dll
C:\Dokumente und Einstellungen\Manuel\Startmenü\Programme\Autostart\userinit.exe
C:\Programme\AntiSpywareBot
C:\Programme\AntiSpywareBot\AntispywareBot.url
C:\Programme\AntiSpywareBot\DataBase.ref
C:\Programme\AntiSpywareBot\Difxapi.dll
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.amd64.sys
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.cat
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.inf
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.x86.sys
C:\Programme\AntiSpywareBot\SpyCleaner.dll
C:\Programme\AntiSpywareBot\TCL.dll
C:\Programme\AntiSpywareBot\vistaCPtasks.xml
C:\Programme\AntiSpywareBot\zlib.dll
C:\WINDOWS\mrofinu2000352.exe.tmp
C:\WINDOWS\msserv.config
C:\WINDOWS\msserv.exe
C:\WINDOWS\system32\734914
C:\WINDOWS\system32\734914\734914.dll
C:\WINDOWS\system32\blphcjhcj0ec89.scr
C:\WINDOWS\system32\config\43147582.Evt
C:\WINDOWS\system32\dflgh8jkd2q1.exe
C:\WINDOWS\system32\dflgh8jkd2q2.exe
C:\WINDOWS\system32\dflgh8jkd2q5.exe
C:\WINDOWS\system32\dflgh8jkd2q6.exe
C:\WINDOWS\system32\dflgh8jkd2q7.exe
C:\WINDOWS\system32\drivers\pya41.sys
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\fjgtloqf.dll
C:\WINDOWS\system32\fqoltgjf.ini
C:\WINDOWS\system32\ftpdll.dll
C:\WINDOWS\system32\igfxhk.dll
C:\WINDOWS\system32\khfcaby.dll
C:\WINDOWS\system32\lphcjhcj0ec89.exe
C:\WINDOWS\system32\maxpaynow1.exe
C:\WINDOWS\system32\maxpaynowti1.exe
C:\WINDOWS\system32\mssrv32.exe
C:\WINDOWS\system32\phcjhcj0ec89.bmp
C:\WINDOWS\system32\qqtss.ini
C:\WINDOWS\system32\qqtss.ini2
C:\WINDOWS\system32\sstqq.dll
C:\WINDOWS\system32\tuvwtsp.dll
C:\WINDOWS\system32\winds32.exe
C:\WINDOWS\system32\winhoo32.dll
C:\WINDOWS\system32\wvvwa.ini
C:\WINDOWS\system32\wvvwa.ini2

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3550P
-------\Legacy_msupdate
-------\Legacy_pya41
-------\Service_asc3550p
-------\Service_pya41


((((((((((((((((((((((( Dateien erstellt von 2008-06-06 bis 2008-07-06 ))))))))))))))))))))))))))))))
.

2008-07-06 11:03 . 2008-07-06 11:03 <DIR> d-------- C:\_OTMoveIt
2008-07-05 20:06 . 2008-07-05 20:06 <DIR> d-------- C:\Programme\Trend Micro
2008-07-05 18:52 . 2008-07-05 18:52 <DIR> d-------- C:\Programme\CCleaner
2008-07-04 21:31 . 2005-03-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-07-04 21:31 . 2005-03-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-04 21:31 . 2005-03-16 23:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-04 21:31 . 2005-03-23 00:19 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-07-04 21:31 . 2005-03-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-07-04 21:31 . 2005-03-23 00:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Bluetooth Software
2008-07-04 21:31 . 2005-03-16 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-07-04 21:31 . 2007-09-04 00:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-07-04 21:31 . 2005-03-16 23:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-04 21:30 . 2005-03-16 19:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-04 21:30 . 2005-03-16 21:00 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-07-04 21:30 . 2005-03-16 19:22 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-07-04 21:30 . 2008-07-04 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-07-04 21:23 . 2008-07-05 19:01 3,696 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-04 21:21 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-07-04 21:21 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-07-04 21:21 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-07-04 21:21 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-07-04 21:21 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-07-04 21:21 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-07-04 21:21 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-07-04 21:21 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-04 21:21 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-03 21:09 . 2008-07-03 21:09 30,208 --a------ C:\WINDOWS\system32\drivers\Jry32.sys
2008-07-03 21:00 . 2008-07-03 21:00 29 --a------ C:\WINDOWS\system32\sreiwpof.tmp
2008-07-03 20:59 . 2008-07-03 20:59 235,189 --a------ C:\d1.exe
2008-07-03 20:59 . 2008-07-03 20:59 5,120 --a------ C:\drvrfw.exe
2008-07-03 20:59 . 2008-07-03 20:59 2 --a------ C:\-797566696
2008-07-03 20:50 . 2008-07-06 11:28 65,970 --a------ C:\WINDOWS\system32\drivers\b9438b61.sys
2008-07-03 20:50 . 2008-07-03 20:50 46,592 --a------ C:\adgjig.exe
2008-07-03 20:50 . 2008-07-03 20:50 25,600 --a------ C:\WINDOWS\system32\winrge32.dll
2008-07-02 18:20 . 2008-07-02 18:20 <DIR> d-------- C:\Programme\SopCast
2008-07-02 18:15 . 2008-07-02 18:15 <DIR> d-------- C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\vlc
2008-07-02 18:13 . 2008-07-02 18:13 <DIR> d-------- C:\Programme\VideoLAN
2008-06-07 23:39 . 2008-07-03 23:00 312 --a------ C:\WINDOWS\wininit.ini
2008-06-07 18:32 . 2008-06-07 18:32 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-07 18:32 . 2008-06-07 18:32 2,555 --a------ C:\WINDOWS\unins000.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-06 09:17 --------- d-----w C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\Skype
2008-07-06 08:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-03 21:11 --------- d-----w C:\Programme\Launch Manager
2008-07-03 18:42 --------- d-----w C:\Programme\eMule.de 0.48a v18
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-07 16:34 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-17 11:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2007-10-12 15:58 68,736 ----a-w C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-16 15:53 4,608 ----a-w C:\Dokumente und Einstellungen\Manuel\explorer.dll
2007-04-16 15:53 23,552 ----a-w C:\Dokumente und Einstellungen\Manuel\ms_tcp.dll
2005-03-16 21:49 8 --sh--r C:\WINDOWS\system32\BBBA7A3527.sys
2005-03-16 21:49 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-06 19:41 68856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= vdrcodec.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jry32.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\kav\\kav7.0\\german\\setup.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 jry32;jry32;C:\WINDOWS\system32\Drivers\Jry32.sys [2008-07-03 21:09]
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 12:27]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-02-09 18:02]
S3 KEYBOARDWDFilter;KEYBOARDWDFilter;C:\WINDOWS\System32\Drivers\KEYBOARDWD.SYS [2006-08-08 20:57]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fbe024e-6784-11dc-a881-000ae4a92883}]
\Shell\AutoRun\command - F:\setupSNK.exe

.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-[system] - C:\WINDOWS\system32\drivers\services.exe
HKLM-Run-[system] - C:\WINDOWS\system32\drivers\services.exe
Notify-winrge32 - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-06 11:28:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-06 11:31:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-06 09:31:01

12 Verzeichnis(se), 106,509,041,664 Bytes frei
15 Verzeichnis(se), 106,457,026,560 Bytes frei

223 --- E O F --- 2008-06-21 10:49:44

Wie geht's nun weiter oder ist mein PC wieder gesund?
Gruß und Danke ;Manuel

#38 Hallo, mod85

1.
versteckte Systemdateien Programme und Ordner anzeigen
http://virus-protect.org/invisible.html

2.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\drivers\b9438b61.sys
C:\Dokumente und Einstellungen\Manuel\explorer.dll
C:\Dokumente und Einstellungen\Manuel\ms_tcp.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html

-setze ein Häkchen in: "Automatically disable any rootkits found"
-Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld: (ohne "Zitat" )

Zitat

Drivers to disable:
jry32
b9438b61
Drivers to delete:
jry32
b9438b61
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jry32.sys
Files to delete:
C:\Dokumente und Einstellungen\Manuel\explorer.dll
C:\Dokumente und Einstellungen\Manuel\ms_tcp.dll
C:\WINDOWS\wininit.ini
C:\WINDOWS\unins000.exe
C:\WINDOWS\unins000.dat
C:\WINDOWS\system32\drivers\Jry32.sys
C:\WINDOWS\system32\drivers\b9438b61.sys
C:\WINDOWS\system32\sreiwpof.tmp
C:\d1.exe
C:\drvrfw.exe
C:\-797566696
C:\adgjig.exe
C:\WINDOWS\system32\winrge32.dll

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Hallo,

C:\WINDOWS\system32\drivers\b9438b61.sys
Diese Datei kann ich nicht finden obwohl ich alle versteckten Dateien angezeigt bekomme.

So hier die Ergebnisse:

Scan explorer.dll ergab:

Die Datei wurde bereits analysiert:
MD5: d0d05ca0eace3bbc3337a8cc0e8d614c
First received: 2008.06.24 23:39:58 (CET)
Datum 2008.07.03 03:38:14 (CET) [>3D]
Ergebnisse 16/33
Permalink: analisis/0430e801c4620bfadc74c8a9edc33471

Scan ms_tcp.dll ergab:

Die Datei wurde bereits analysiert:
MD5: cda9cc420a7ed12f5ca34d2191fae33e
First received: 2008.06.30 03:26:02 (CET)
Datum 2008.06.30 03:26:02 (CET) [>6D]
Ergebnisse 6/33
Permalink: analisis/57dddae2fa85dca5664ca2fb897f9d03

Avenger ergab:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "jry32" disabled successfully.
Driver "b9438b61" disabled successfully.
Driver "jry32" deleted successfully.
Driver "b9438b61" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jry32.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\Jry32.sys" deleted successfully.
File "C:\WINDOWS\system32\sreiwpof.tmp" deleted successfully.
File "C:\d1.exe" deleted successfully.
File "C:\drvrfw.exe" deleted successfully.
File "C:\-797566696" deleted successfully.
File "C:\WINDOWS\system32\drivers\b9438b61.sys" deleted successfully.
File "C:\adgjig.exe" deleted successfully.
File "C:\WINDOWS\system32\winrge32.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#40 ««

Zitat

Ergebnisse 6/33

schade, dass du nicht alles abkopiert hat.... so weiss ich nicht, welche Scanner das erkennen
kommst du noch auf die Seite ...such sie mal und kopiere ALLES ab

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

jry32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Ups da habe ich den Link gar nicht gesehen

Also hier nochmal alles:



Scan explorer.dll ergab:

Die Datei wurde bereits analysiert:
MD5: d0d05ca0eace3bbc3337a8cc0e8d614c
First received: 2008.06.24 23:39:58 (CET)
Datum 2008.07.03 03:38:14 (CET) [>3D]
Ergebnisse 16/33
Permalink: analisis/0430e801c4620bfadc74c8a9edc33471

Datei explorer.dll empfangen 2008.07.03 03:37:25 (CET)
Status: Beendet

Ergebnis: 16/33 (48.48%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.2.0 2008.07.02 -
AntiVir 7.8.0.64 2008.07.02 TR/Spy.Gen
Authentium 5.1.0.4 2008.07.02 -
Avast 4.8.1195.0 2008.07.02 Win32:Spyware-gen
AVG 7.5.0.516 2008.07.02 PSW.Agent.TRM
BitDefender 7.2 2008.07.03 Trojan.Generic.322446
CAT-QuickHeal 9.50 2008.07.02 -
ClamAV 0.93.1 2008.07.03 -
DrWeb 4.44.0.09170 2008.07.02 Trojan.DownLoader.origin
eSafe 7.0.17.0 2008.07.02 Suspicious File
eTrust-Vet 31.6.5922 2008.07.02 -
Ewido 4.0 2008.07.02 -
F-Prot 4.4.4.56 2008.07.02 -
F-Secure 7.60.13501.0 2008.07.01 -
Fortinet 3.14.0.0 2008.07.02 W32/Small.XPI!tr.dldr
GData 2.0.7306.1023 2008.07.03 Win32:Spyware-gen
Ikarus T3.1.1.26.0 2008.07.03 Trojan-Spy
Kaspersky 7.0.0.125 2008.07.03 -
McAfee 5330 2008.07.02 Generic PWS.o
Microsoft 1.3704 2008.07.03 -
NOD32v2 3237 2008.07.03 probably a variant of Win32/PSW.Agent.NHG
Norman 5.80.02 2008.07.02 -
Panda 9.0.0.4 2008.07.02 -
Prevx1 V2 2008.07.03 Malicious Software
Rising 20.51.22.00 2008.07.02 -
Sophos 4.30.0 2008.07.03 Mal/Generic-A
Sunbelt 3.1.1509.1 2008.07.03 Trojan.Spy.Gen
Symantec 10 2008.07.03 -
TheHacker 6.2.96.367 2008.07.03 -
TrendMicro 8.700.0.1004 2008.07.02 PAK_Generic.001
VBA32 3.12.6.8 2008.07.02 -
VirusBuster 4.5.11.0 2008.07.02 -
Webwasher-Gateway 6.6.2 2008.07.02 Trojan.Spy.Gen
weitere Informationen
File size: 4608 bytes
MD5...: d0d05ca0eace3bbc3337a8cc0e8d614c
SHA1..: 2e8c361f9a042d2084366347d020aeceb14b978e
SHA256: 944df0f903bb8c5ab82e2af3b433ef9c2e3aed2064fc39f0c5cd9a73e686e2b4
SHA512: fde5524eb0a69848be15965e40a3777bb165caab4a4d14544e1d4169c08a6946
c39d77a15ba7a83a0a571b1a40398bb7e9ebfbbd4dc4dfe67cc29ef764d9c57a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100159b0
timedatestamp.....: 0x485f7c26 (Mon Jun 23 10:34:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x14000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x15000 0x1000 0xc00 7.48 a695c54bcb6522a3f318f34fc56d1361
UPX2 0x16000 0x1000 0x200 2.71 5c240c2a3a237982c79e50a3c381ca8e

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> MSVCRT.dll: free
> USER32.dll: CallNextHookEx
> WS2_32.dll: -

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D729FA6600B4F2981247003A792A470012AEC81A
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX



Scan ms_tcp.dll ergab:

Die Datei wurde bereits analysiert:
MD5: cda9cc420a7ed12f5ca34d2191fae33e
First received: 2008.06.30 03:26:02 (CET)
Datum 2008.06.30 03:26:02 (CET) [>6D]
Ergebnisse 6/33
Permalink: analisis/57dddae2fa85dca5664ca2fb897f9d03

Datei ms_tcp.dll empfangen 2008.06.30 03:26:02 (CET)
Status: Beendet

Ergebnis: 6/33 (18.18%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - HEUR/Malware
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Generic.PWS.Games.3.3353885D
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Virtumonde.Q.gen!Eldorado
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - PAK_Generic.001
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Heuristic.Malware
weitere Informationen
MD5: cda9cc420a7ed12f5ca34d2191fae33e
SHA1: 44dcb921d08eb6fa3fbd0211786d30925edbbd70
SHA256: a8fbceb00284ec91c8422e2bcc5a3714b2b9ff6a6d55d30a64f8407be252d411
SHA512: 82ad7af4ee0aa8aeffd7866745d865ec68df9183e613f36fc6696ebfaaed72890e2a54
e154a32e4ca698f3a85d8edeb605b271e7695ad0cd5f6b96f34a2fdde8



Registry Tool Ergebnis:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 06.07.2008 13:59:22 for strings:
; 'jry32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\jry32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000]
"Service"="Jry32"
"DeviceDesc"="Jry32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000\logconf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\jry32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32\0000]
"Service"="Jry32"
"DeviceDesc"="Jry32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32\0000\logconf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000]
"Service"="Jry32"
"DeviceDesc"="Jry32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000\logconf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32\0000\Control]

; End Of The Log...

#42 ««
kopiere in den Avenger, + Avenger anwenden + das Log nach neustart posten

Zitat

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\jry32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\jry32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32
Files to delete:
C:\WINDOWS\wininit.ini
C:\WINDOWS\unins000.exe
C:\WINDOWS\unins000.dat

__________
MfG Sabina

rund um die PC-Sicherheit

#43 Avenger Bericht:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\jry32.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_jry32" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\jry32.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_jry32" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jry32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_jry32" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\wininit.ini" deleted successfully.
File "C:\WINDOWS\unins000.exe" deleted successfully.
File "C:\WINDOWS\unins000.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#44 1.
wende navilog an, Option 1 und dann Option 2
poste hier den report von Option2
http://virus-protect.org/artikel/tools/navilog.html

2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

3.
alls OTMoveIt2 auf dem Rechner nicht startet, kann man zum Entfernen der verwendeten Programme benutzen: OTCleanIt (löscht sich nach Anwendung von selbst)
http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

4.
lösche C:\Avenger + leere den Papierkorb

5.
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit

#45 Es wird immer besser jetzt werden sogar wieder Bilder auf den Websiten im Internet angezeigt, hier also weitere Reports: Und nun?

Navipromo Removal version 3.6.0 started on 06.07.2008 at 15:02:09,46

Fix running from C:\Programme\navilog1
Actual User Account : "Manuel"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Manuel\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Manuel\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\Besitzer\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Manuel\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Manuel\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Manuel\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Manuel\lokale~1\anwend~1" *


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 06.07.2008 at 15:04:43,10 ***




Zweiter Report:

SDFix: Version 1.201
Run by Manuel on 06.07.2008 at 15:48

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\My Documents.url - Deleted
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Eigene Musik\My Music.url - Deleted
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Eigene Bilder\My Pictures.url - Deleted
C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Eigene Videos\My Video.url - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-06 15:57:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c67bc0aa]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0010c67bc0aa]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteunterst�tzung"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"="%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe:*:enabled:BTTray"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe:*:EnabledowerCinema"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\eMule.de 0.48a v18\\emule.exe"="C:\\Programme\\eMule.de 0.48a v18\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:EnabledMSRegisterFile"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\kav\\kav7.0\\german\\setup.exe"="C:\\kav\\kav7.0\\german\\setup.exe:*isabled:Installationsprogramm f�r Kaspersky Anti-Virus 7.0"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteunterst�tzung"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"="%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe:*:enabled:BTTray"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 16 Mar 2005 8 ..SHR --- "C:\WINDOWS\system32\BBBA7A3527.sys"
Wed 16 Mar 2005 4,704 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 21 Sep 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 17 Sep 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sun 6 Jul 2008 72 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Tue 4 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4a882309d56e564894505aaa60eac9b1\BIT1E.tmp"
Sat 6 Aug 2005 188,799 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d8a45f7d1722b2ca0c1767339aa1e49b\download\BIT40.tmp"

Finished!


MFG Manu