Home » Spyware & Browser Hijacker Support Forum » Coolwebsearch kann nicht gelöscht werden! - Fortsetzung » Themenansicht
Coolwebsearch kann nicht gelöscht werden! - Fortsetzung |
||
|---|---|---|
| #0
| ||
|
22.04.2004, 23:47
Member
Beiträge: 32 |
||
 
|
|
|
|
23.04.2004, 08:17
Moderator
Beiträge: 7805 |
||
|
|
|
|
|
23.04.2004, 08:55
Member
Beiträge: 1095 |
#3
Hi
Dann warten wir auch mal ab, bis heute abend  Ist ja spannender als jeder Fortsetzungsroman. Folgendes kannst du auf jedenfall fixen O4 - Global Startup: D-Info Schnellstarter.lnk = ? O4 - Global Startup: PGPtray.lnk = ? Das sind nicht mehr belegte Starteinträge im Autostart/Startmenu. Auch solltest du dir noch den CWShredder runterladen. http://www.chip.de/downloads/c_downloads_11353799.html http://www.wintotal.de/softw/index.php?id=1935 http://www.computercops.biz/zx/phoenix22/cws.zip und laufen lassen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
23.04.2004, 09:26
Member
Themenstarter Beiträge: 32 |
#4
Hallo raman, paff,
jo, die Datei habe ich schon an McAfee und auch an virus@rokop-security gesendet. Vom letzteren habe ich auch schon eine Antwort erhalten. Er schreibt das Ihm in letzter Zeit einige Leute von diesem Problem berichtet haben. Des Weiteren habe ich Ihm noch Versionsnummern meiner Komponenten mitgeteilet IE, JVM ( hatte ich heute Nacht vergessen!) Dabei kam herraus das es ein neues Update vom CWS gibt. Habe ich heute morgen gleich upgedatet. Aber wie gesagt bist heute Abend wird ja alles OK sein! Mal sehen was McAfee dazu sagt, die habe sich noch nicht gemeldet. Ja, paff dies Einträge nehme ich raus! Danke! So dann bis nachher................Gruß TGorke |
|
|
|
|
|
|
23.04.2004, 21:35
Member
Beiträge: 1095 |
#5
@TGorke
Hier ein Tipp für dich Wenn die Einträge wieder auftauchen Such mal auf deinem Rechner die F:\WINDOWS\System32\<xxxx>.dll Schau mal ob es dazu eine Datei <xxxx.>.cpy.dll gibt. Diese exe sollte die Dateien auch aufspüren http://download.broadbandmedic.com/VbStuff/VX2Finder.exe Hab Sie bei einem OnlienCheck und bei mir getestet. Die ist zu 99% kein Virus Aber trotzdem auf eigene gefahr Wenn ja, dann ist der Link unten wahrscheinlich für dich die Lösung Ich kann's selber allerdings nicht überprüfen, deswegen auf eigene Gefahr. http://www.computercops.biz/postx29019-0-15.html bzw. dann der http://www.pchell.com/support/look2me.shtml Schick mir bitte mal dann die beiden DLL-Files gezippt mike_hangover@gozomail.com (MeineFake-EMailAdresse) Viel Glück Melde dich auf jedenfall, wenn's futzt .Das Problem haben zur Zeit ziemlich viele Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.04.2004 um 21:38 Uhr von paff editiert.
|
|
|
|
|
|
|
23.04.2004, 21:52
Moderator
Beiträge: 7805 |
#6
Falls du probleme damit haben solltest einen look2me Hijacker mit Software von look2me zu entfernen, kannst du es auch hiermit versuchen:
http://www.spywareinfo.com/~merijn/files/kill2me.zip Ich hoffe paff hat recht und es klappt, immerhin war er so hartnaeckig mit der Recherche. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
23.04.2004, 23:23
Member
Themenstarter Beiträge: 32 |
#7
Hallo paff, raman,
ich habe echt die Faxen dicke!!!! Das Offline bereinigen gestern hat nix gebracht: Hier nun das neue "log": F:\WINDOWS\ServicePackFiles\i386\msconfig.exe F:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {43966844-CA96-47DF-BD55-0FC3A552776C} - F:\WINDOWS\System32\mgk.dll O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM) O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM) O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {69432678-2906-2705-1128-068943397621} - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185 O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0 O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0 sofort nach mgk.cpy.dll gesucht -----> nicht gefunden!!! auch dann mit V2xFinder.exe Log for VX2.BetterInternet File Finder Files Found--- Guardian Key--- User Agent String--- an paff: möchtest du die mgk.dll per mail haben? und kannst du daran was testen? dann sende ich sie dier gleich zu! ansomsten nehme ich das hier nach der alten Methode wioeder raus? Ich habe mit msconfig mir mal die Dienste angesehen und bin dabei über einen Pcamonservice vom Hersteller blu-series / germany gestoßen, kennt das einer? So viele Grüße von einen genervten TGorke Ps. Und im Übrigen ich finde es echt klasse das Ihr hier in diesem Forum so bemüht seit einem zu helfen, das kenne ich auch anders! DANKE!!!!!! |
|
|
|
|
|
|
24.04.2004, 07:31
Member
Beiträge: 1095 |
#8
Hi TGorke
Tja , nun steh ich da. Ich war mir ziemlich sicher, das es das war.  Dann mußen wir halt weitersuchen. Trotzdem glaube ich, das wir nah dran sind. 1. Kannst du mal bitte schauen ob du diesen Eintrag in der Registry hast. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\<xxxx>.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Version"="122" "ID"="{30021035-50A4-4B54-B55E-7DA40D9FA554}" "IDex"="N1" oder so ähnlich 2. Hast du die "kill2me.zip" von "raman" schon ausprobiert. Gruß paff P.S. Leider ist die Seite "gozomail" im Moment down und ich komm nicht an die Mails ran. Schick mir mal bitte die DLL gezippt (wichtig) an xxxxxxx@xxxx.xx(editiert) Danke __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 24.04.2004 um 13:32 Uhr von paff editiert.
|
|
|
|
|
|
|
24.04.2004, 09:20
Moderator
Beiträge: 7805 |
#9
Versuche es mal testweise mit dem kill2me cleaner und mit diesem scanner ftp://ftp.microworldsystems.com/download/tools/mwav.exe . Beides bitte im abgesicherten Modus
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.04.2004, 10:32
Member
Themenstarter Beiträge: 32 |
#10
Hallo Paff,Raman
so die dll files sind gleich unterwegs an Deine andere Mail Adresse. Das kill2me habe ich laufen lassen....................Keine Befunde! Mache ich aber sofort noch mal nach der nächsten Infektion. An den Link: ftp://ftp.microworldsystems.com/download/tools/mwav.exe bin ich nicht rangekommen IE zeigt nur die Eieruhr. Auch das versuche ich nachher noch einmal. Da ich gleich zum Kunden muss, kann ich dort nun nicht weiter suchen. Wird so gegen 18:00 Uhr heute Abend weitergehen. Mal wieder vielen Dank für Eure Tips und bis nachher!!!! Gruß TGorke Beides bitte im abgesicherten Modus Dieser Beitrag wurde am 24.04.2004 um 12:17 Uhr von raman editiert.
|
|
|
|
|
|
|
24.04.2004, 12:18
Moderator
Beiträge: 7805 |
#11
Nur zur Info, der Link funktioniert. Im zweifelsfalle von einem anderen Rechner aus herunterladen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.04.2004, 21:40
Member
Themenstarter Beiträge: 32 |
#12
Hallo raman hallo paff,
sorry hat ein wenig länger gedauert bis ich nun dazu komme eine Info zu geben. Das Scan hat hier 2,0 Std. gelaufen bis eben! Fazit: Ich gebe "vorsichtig" Entwarnung! Aber der Reihe nach: - Pc wieder verseucht mit einer moajc.dll! - Pc im abgesicherten Modus gestartet - VX2Finder laufen lassen => ohne Befund - Kill2me laufen lassen => ohne Befund - Mwav laufen lassen = positiver Befund Sat Apr 24 20:48:05 2004 => Total Number of Files Scanned: 49512 Sat Apr 24 20:48:05 2004 => Total Number of Virus(es) Found: 42 Sat Apr 24 20:48:05 2004 => Total Number of Disinfected Files: 0 Sat Apr 24 20:48:05 2004 => Total Number of Files Renamed: 2 Sat Apr 24 20:48:05 2004 => Total Number of Deleted Files: 25 Sat Apr 24 20:48:05 2004 => Total Number of Errors: 0 Sat Apr 24 20:48:05 2004 => Time Elapsed: 01:23:09 Sat Apr 24 20:48:05 2004 => Virus Database Date: 2004/04/24 Sat Apr 24 20:48:05 2004 => Virus Database Count: 90897 Sat Apr 24 20:48:06 2004 => Scan Completed. Wie zu sehen ist hat er 25 Files gelöscht. Ist ein "log" von 5 MB!!!!!!! Unter anderem sind folgene Trijaner genannt worden: Trojan.KillCMOS.I und Trojan.Win32.StartPage.fw Ich muss das log aber noch mal durchsehen wollte Euch aber erst Bericht erstatten. - In der DOS Box nach gesehen ob moajc.dll nach dem scannen weg ist! Ja ist weg!!!! - CWS laufen lassen ==> positiver Befund..... das Tool zeigte die dll datei noch an! (obwohl nachweislich nicht da) Also Fix! - Ad-Aware laufen lassen ==> ebenfalls positiver Befund ! grrrrrrrrrrr! also auch da fix! - zu guter letzt HijackThis angewendet dort noch ein R0 und R1 Eintrag gelöscht! Leider in der Aufregung nicht gemerkt welcher! - System neu hochgefahren - CWS / AD-Aware / HijackThis sagen alles ist OK! - 5 x IE 6.0 gestartet alles OK! Also wir müssen wieder warten, aber das Kaspersky e Scan schein klasse zu sein. Ich dacht immer McAffee sei schon gut. Aber die haben nix gemeldet! So also ich werde nacher berichten was nun entgültig los ist! Viele Grüße |
|
|
|
|
|
|
24.04.2004, 21:47
Moderator
Beiträge: 7805 |
||
|
|
|
|
|
24.04.2004, 22:12
Member
Themenstarter Beiträge: 32 |
#14
Hallo raman,
so ich habe die "log" Datei durchgesehen und das rauskopiert was virentechnisch interessant ist! Diese Tool ist das eine Testversion / Freeware oder wie ist das zu sehen, denn ich denke das könnte es gebracht haben. Sat Apr 24 19:41:08 2004 => File F:\WINDOWS\system32\moagc.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 19:41:08 2004 => File F:\WINDOWS\system32\moagc.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 19:43:29 2004 => File C:\System Volume Information\_restore{9EC42188-6492-4EDC-AC81-B095E9BD71FC}\RP6\A0004249.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted. Sat Apr 24 19:45:04 2004 => File C:\System Volume Information\_restore{2DA8BB54-3C4B-4D21-A3CB-43BBC0758CA5}\RP73\A0016377.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted. Sat Apr 24 19:45:16 2004 => File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038929.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 19:45:16 2004 => Scanning File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038938.dll Sat Apr 24 19:45:16 2004 => File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038938.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 19:45:16 2004 => Scanning File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038939.dll Sat Apr 24 19:45:16 2004 => File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038939.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 19:48:38 2004 => File C:\Müllplatz\Trojaner.zip infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:01:50 2004 => File F:\Programme\hijackthis\backup-20040421-231242-224.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:01:51 2004 => File F:\Programme\hijackthis\backup-20040422-231042-645.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:01:51 2004 => File F:\Programme\hijackthis\backup-20040424-101216-699.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:35:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP155\A0036531.dll infected by "Trojan.Win32.StartPage.fo" Virus. Action Taken: File Deleted. Sat Apr 24 20:35:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP155\A0036535.alt infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:35:23 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP157\A0036605.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:36:57 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP171\A0038414.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:37:00 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP171\A0038429.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:37:56 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP176\A0038832.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:01 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038887.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038967.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:06 2004 => Scanning File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038968.dll Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038968.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:06 2004 => Scanning File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038969.dll Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038969.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:06 2004 => Scanning File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038970.dll Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038970.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:32 2004 => File M:\Hacking\Bios\bios.zip infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:33 2004 => File M:\Hacking\Bios\killcmos\KILLCMOS.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted. Sat Apr 24 20:38:50 2004 => File M:\Hacking\Webcracker\setup\WebCrack40.zip infected by "Win95.CIH.dam" Virus. Action Taken: File Renamed. Sat Apr 24 20:47:51 2004 => File M:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038971.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted. Gruß Thomas Gorke |
|
|
|
|
|
|
24.04.2004, 22:21
Moderator
Beiträge: 7805 |
#15
Systemwiederherstellung. Da haetten wir auch eher drauf kommen koennen!
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
wie versprochen wollte ich berichten. Heute Abend war es wieder soweit 22:54 nach dem start des MS Explorer denke ich!
Folgendes log wurde geschrieben:
Logfile of HijackThis v1.97.7
Scan saved at 22:57:52, on 22.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
F:\WINDOWS\System32\cusrvc.exe
F:\WINDOWS\System32\eTSrv.exe
F:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Programme\McAfee\McAfee VirusScan\VsStat.exe
F:\WINDOWS\System32\pcamon32.exe
F:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
F:\WINDOWS\System32\PGPsdkServ.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
F:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
F:\Programme\PTBSync\PTBSync.exe
F:\WINDOWS\System32\NWTRAY.EXE
F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\D\D-Info Frühjahr 2004\distart.exe
F:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
F:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
F:\WINDOWS\system32\ntvdm.exe
F:\Programme\Palm\HOTSYNC.EXE
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\MSN Messenger\msnmsgr.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CE096B8B-C2AE-4A3B-B863-BF94CCDF6F66} - F:\WINDOWS\System32\gnemed.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE
O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
dann habe ich gefixt:
Logfile of HijackThis v1.97.7
Scan saved at 23:11:22, on 22.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\hijackthis\HijackThis.exe
F:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
F:\WINDOWS\system32\NOTEPAD.EXE
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE
O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
so und heute ich alles im abgesicherten modus!!!!!! gefixt. Danach Ad-Aware drüber laufen lassen und das Tool fand noch 4 Reg Einträge!! Alle gelöscht! Noch einen Scan drüber laufen lassen und etzt scheint alles clean zu sein!
Mal sehen wie lange bestimmt wieder bis morgen abend! Wie Ihr seht ist es dieses mal ein anderes File "gnemed.dll". Kann schon bald ne DIN A4 Seite mit den Files füllen die da immer so auftauchen!
Und definitiv: Mein System ist auf den neusten Stand wwas die Updates von MS anbelangt.
Also falls Ihr noch eine gute Idee habe wo der Auslöser liegt dann wäre ich echt dankbar.
Viele Grüße und gute Nacht TGorke