adware.generic wie kann ich es löschen?

#1 Hallo,

mein Virenscanner findet diese Datei HKU\S-1-5-21-448539...., es taucht immer wieder auf und ich finde den ordner nicht auf dem pc. Nun ja habe aber auch nicht so viel Ahnung davon.

Wie werde ich ihn wieder los?

Lg anixy

#2 Hallo anixy

das ist ein Eintrag in der Registry.
Hast du mit AdAware gescannt ?
oder womit ?
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabine,

habe den Virenscanner AVG Anti- Virus. Den hat mir mal jemand empfohlen.

Lg anixy

#4 Hallo,

kannst du den Scanreport (AVG Anti- Virus) hier reinstellen ?

+
poste ein Log vom HijacktHis
http://virus-protect.org/hjtkurz.html

Beim Erststart:
Do a system scan and save a logfile - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und im Sicherheits-Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi,

hier der Scanreport

Scan "Scan whole computer" was finished.
Infections found:;"0"
Infected objects removed or healed;"0"
Not removed or healed.;"0"
Spyware found:;"0"
Spyware removed:;"0"
Not removed:;"0"
Warnings count:;"1"
Information count:;"0"
Scan started:;"Freitag, 27. Juni 2008, 21:42:50"
Total object scanned:;"456720"
Time needed:;"2 hour(s) 44 minute(s) 27 second(s) "
Errors encountered:;"0"

Warnings
File;"Infection";"Result"
HKU\S-1-5-21-448539723-152049171-839522115-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a};"Found Adware.Generic";"Potentially dangerous object"


und hier das andere

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:51, on 29.06.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Kerio\WinRoute Firewall\winroute.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINNT\Mixer.exe
C:\WINNT\system32\UMonit2k.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\mobsync.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Kerio\WinRoute Firewall\WrCtrl.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\AVG\AVG8\avgui.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\UMonit2k.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Synchronization$Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunServices: [msgmsgs] peremption.exe
O4 - HKCU\..\Run: [WrCtrl] C:\Programme\Kerio\WinRoute Firewall\WrCtrl.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ICQ] syscdd2.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187379911236
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1187379843408
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: wbsys.dll,avgrsstx.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - C:\Programme\Kerio\WinRoute Firewall\winroute.exe

--
End of file - 8170 bytes


So hoffe habe alles richtig gemacht.

Lg anixy

#6 ja, hier sind Sachen drauf, die nicht sein sollten.....
wende combofix an, klicke die warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ComboFix 08-06-20.4 - Administrator 29.06.2008 12:47:36.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.265 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\system32\info.txt
C:\WINNT\t\
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.

2008-06-29 11:10 . 29.06.08 11:10 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_310.dat
2008-06-29 10:44 . 29.06.08 10:44 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_304.dat
2008-06-27 21:57 . 27.06.08 21:57 <DIR> d-------- C:\Programme\Trend Micro
2008-06-27 21:34 . 27.06.08 21:34 <DIR> d-------- C:\Programme\CCleaner
2008-06-27 21:07 . 27.06.08 21:07 <DIR> d-------- C:\Programme\Lavalys
2008-06-27 06:40 . 27.06.08 22:10 <DIR> d--h----- C:\$AVG8.VAULT$
2008-06-26 21:12 . 29.06.08 10:48 <DIR> d-------- C:\WINNT\system32\drivers\Avg
2008-06-26 21:12 . 26.06.08 21:12 <DIR> d-------- C:\Programme\AVG
2008-06-26 21:12 . 26.06.08 21:12 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-06-26 21:12 . 26.06.08 21:12 96,520 --a------ C:\WINNT\system32\drivers\avgldx86.sys
2008-06-26 21:12 . 26.06.08 21:12 10,520 --a------ C:\WINNT\system32\avgrsstx.dll
2008-06-10 11:36 . 10.06.08 11:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-29 09:10 --------- d-----w C:\Programme\Trojancheck 6
2008-06-26 20:38 --------- d-----w C:\Programme\Zylom Games
2008-06-10 12:12 --------- d---a-w C:\Programme\ICQLite
2008-06-10 09:36 --------- d-----w C:\Programme\Apple Software Update
2008-05-26 19:44 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
2008-05-26 19:43 --------- d-----w C:\Programme\Gemeinsame Dateien\AAV
2008-05-25 08:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-25 08:09 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-05-24 19:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-05-24 19:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-05-24 19:58 --------- d-----w C:\Programme\Sony Ericsson
2008-05-24 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-04-30 20:33 1,228,288 ----a-w C:\WINNT\system32\quartz.dll
2008-04-18 08:00 582,144 ----a-w C:\WINNT\system32\WININET.DLL
2007-12-22 16:37 5,827,152 ----a-w C:\Programme\Firefox Setup 2.0.0.11.exe
2007-12-22 15:22 31,768,752 ----a-w C:\Programme\avg75free_503a1205.exe
2006-05-13 12:34 177,804 ----a-w C:\Programme\gfxpackage.zip
2005-02-08 10:40 4,524,168 ----a-w C:\Programme\ymsgrde.exe
2004-08-02 08:42 1,273,071 ----a-w C:\Programme\tc6_install.exe
2004-02-23 11:51 185 ---ha-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hpothb07.dat
2004-01-20 12:51 0 ---ha-w C:\Dokumente und Einstellungen\All Users\hpothb07.dat
2003-11-08 18:31 271 ---h--w C:\Programme\desktop.ini
2003-11-08 18:31 22,080 ---h--w C:\Programme\folder.htt
2002-08-29 21:00 534,528 ----a-w C:\Programme\spider.exe
2000-10-04 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2007-11-29 22:31 479,232 ----a-w C:\Programme\mozilla firefox\plugins\msvcm80.dll
2007-11-29 22:31 548,864 ----a-w C:\Programme\mozilla firefox\plugins\msvcp80.dll
2007-11-29 22:31 626,688 ----a-w C:\Programme\mozilla firefox\plugins\msvcr80.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WrCtrl"="C:\Programme\Kerio\WinRoute Firewall\WrCtrl.exe" [14.11.03 18:39 188416]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [01.08.07 22:20 68856]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [05.09.07 00:40 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk,NvCplDaemon initialize" []
"nwiz"="nwiz.exe" [09.03.02 03:53 364544 C:\WINNT\system32\nwiz.exe]
"Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" [14.11.02 17:23 590336]
"C-Media Mixer"="Mixer.exe" [15.10.02 19:00 1818624 C:\WINNT\mixer.exe]
"Gene USB Monitor"="C:\WINNT\system32\UMonit2k.exe" [16.12.03 03:24 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [27.04.07 09:41 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [01.06.07 16:51 257088]
"Synchronization$Manager"="mobsync.exe" [19.06.03 21:05 112400 C:\WINNT\system32\mobsync.exe]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 112400 C:\WINNT\system32\mobsync.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.08 05:25 144784]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [11.07.06 12:15 3144800]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [26.06.08 21:12 1177368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"msgmsgs"="peremption.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [04.10.00 14:00 20752 C:\WINNT\system32\internat.exe]
"ICQ"="syscdd2.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll,avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"msacm.dvacm"= dvacm.acm

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINNT\system32\Drivers\avgldx86.sys [26.06.08 21:12 ]
R1 WRDRV;WRDRV;C:\WINNT\system32\drivers\wrdrv.sys [26.01.04 11:16 ]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [04.10.07 15:32 ]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [26.06.08 21:12 ]
R2 WinRoute;Kerio WinRoute Firewall;"C:\Programme\Kerio\WinRoute Firewall\winroute.exe" [25.02.04 12:19 ]
S2 Ca533av;PocketCam 3Mega, WDM Video Capture;C:\WINNT\system32\Drivers\Ca533av.sys []
S3 USBCamera;DSC Still Image Capture (CA100);C:\WINNT\system32\Drivers\Bulk533.sys []
S3 USTOR2K;Genesys USB Mass Storage Windows Driver;C:\WINNT\system32\DRIVERS\ustor2k.sys [16.12.03 04:00 ]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-18 06:50:12 C:\WINNT\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-12-15 17:50:14 C:\WINNT\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1188751616.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 12:51:07
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 29.06.2008 12:53:18
ComboFix-quarantined-files.txt 2008-06-29 10:53:09

12 Verzeichnis(se), 11,708,579,840 Bytes frei
17 Verzeichnis(se), 12,206,452,736 Bytes frei

132 --- E O F --- 2008-06-16 14:34:19

#8 Hallo, anixy

Info:
auf dem rechner war/ist ein W32/Sdbot.worm.gen
"ICQ"="syscdd2.exe" []
http://www.sophos.com/security/analyses/viruses-and-spyware/w32sdboton.html

W32/Sdbot.worm.gen
O4 - HKLM\..\RunServices: [msgmsgs] peremption.exe
http://www.sophos.com/security/analyses/viruses-and-spyware/w32sdbotku.html

-----------------------------------------------------

««
lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken

reinschreiben: 3
3 : wird Sophos geladen

bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien
"SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag,


__________
MfG Sabina

rund um die PC-Sicherheit

#9 hi

[Version]
Signature="$Windows NT$"

[DefaultInstall]
DelReg=RemoveRestrictions

[RemoveRestrictions]
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableRegistryTools"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableTaskMgr"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","NoDispCPL"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoSetFolders"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoStartMenuMorePrograms"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoToolbarCustomize"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","StartMenuLogoff"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableCMD"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","NoDispCPL"
HKCU, "Software\Policies\Microsoft\Internet Explorer\Restrictions","NoBrowserOptions"
HKCU, "Software\Policies\Microsoft\Windows\system","DisableCMD"



[Version]
Signature="$Windows NT$"

[DefaultInstall]
DelReg=RemoveRestrictions
AddReg=ResetRegChanges

[ResetRegChanges]
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowControlPanel,0x10001,0x00000002
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowHelp,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyComputer,0x10001,0x00000002
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyDocs,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyMusic,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyPics,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowNetPlaces,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowRun,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowSearch,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDrives,0x10001,0x00000000

[RemoveRestrictions]
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableRegistryTools"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableTaskMgr"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","NoDispCPL"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoSetFolders"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoStartMenuMorePrograms"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoToolbarCustomize"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","StartMenuLogoff"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableCMD"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","NoDispCPL"
HKCU, "Software\Policies\Microsoft\Internet Explorer\Restrictions","NoBrowserOptions"
HKCU, "Software\Policies\Microsoft\Windows\system","DisableCMD"


So hier die Reports, habe keine Option 6 gefunden.
Muß jetzt leider auch raus aus Internet, werde aber abends wieder hier sein.

Erstmal vielen Dank, die Anweisungen sind wirklich leicht verständlich und ausführbar.

Lg anixy

#10 RunThis.bat doppelt klicken



reinschreiben: 3
3 : wird Sophos geladen

dann scannen mit Option 6
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi,

so mit Geduld komme ich weiter. Hier der Report:


Sophos Anti-Virus
Version 4.30.0 [Win32/Intel]
Virus data version 4.30E, June 2008
Includes detection for 424928 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 19:56:18, System date 29 June 2008
Command line qualifiers are: -f -remove -nc -nb -dn --stop-scan -idedir=C:\SDFix\IDE -p=C:\SDFix\SophosReport.txt

Full Scanning

Could not open C:\hiberfil.sys
Password protected file C:\Programme\Akademische Arbeitsgemeinschaft\Steuertipps\2007\Steuerprogramm\Extras\vorsorgerechner2005.xls
Password protected file C:\Programme\Akademische Arbeitsgemeinschaft\Steuertipps\2008\Steuerprogramm\Extras\vorsorgerechner.xls
Could not open C:\WINNT\$NtUninstallKB834707-IE6SP1-20040929.091901$\reg00001

1 boot sector swept.
22616 files swept in 2 hours, 2 minutes and 47 seconds.
4 errors were encountered.
No viruses were discovered.
2 encrypted files were not checked.
Ending Sophos Anti-Virus.

#12 1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - HKLM\..\RunServices: [msgmsgs] peremption.exe

O4 - HKUS\.DEFAULT\..\Run: [ICQ] syscdd2.exe (User 'Default user')

PC neustarten

«
lade avz, updaten, scanne + poste den report
http://virus-protect.org/artikel/tools/avz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 29.06.2008 23:55:37
Database loaded: signatures - 173894, NN profile(s) - 2, microprograms of healing - 56, signature database released 29.06.2008 22:11
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 71156
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.0.2195, Service Pack 4 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
>>>> Probable masking of executable file's name 1420 ituneshelper.exe, real name - iTunesHelper.ex
>>>> Probable masking of executable file's name 1516 googletoolbarnotifier.exe, real name - GoogleToolbarNo
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Error loading driver - checking interrupted [C0000034]
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Error loading driver - checking interrupted [C0000034]
2. Scanning memory
Number of processes found: 39
Number of modules loaded: 301
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFA7E1.tmp
Direct reading C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFBF23.tmp
Direct reading C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFBF3C.tmp
Direct reading C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFBF53.tmp
Direct reading C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFC07C.tmp
Direct reading C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFDF6B.tmp
C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL >>>>> AdvWare.Win32.MyWebSearch.a deleted successfully
Removing traces of deleted files...
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "wbsys.dll,avgrsstx.dll"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierungsdienst)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Messenger (Nachrichtendienst)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: terminal connections to the PC are allowed
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 73211, extracted from archives: 58989, malicious software found 1, suspicions - 0
Scanning finished at 30.06.2008 02:09:23
Time of scanning: 02:13:59
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

#14 das sieht schon mal gut aus
nun mache noch einen Onlinescan mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ist dies das richtige?


PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 30. Juni 2008 21:13:54
Betriebssystem: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 30/06/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 800891
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Kritische Objekte
C:\WINNT
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 12438
Viren gefunden 0
Infizierte Objekte gefunden 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 03:00:51

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINNT\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\ipsecpa.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\oakley.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SYSTEM.ALT Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\Perflib_Perfdata_278.dat Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DF1931.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB533.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB53B.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB543.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB54D.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB555.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB55D.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB565.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB56D.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFD1A0.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFD1BA.tmp Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.