Ein neuer Prozess??? Bitte um Hilfe

RAPPEL001 · 14.06.2005, 23:24

So, die Desinfektion von Seeker habe ich laufen lassen. Darauf spielte ad-watch verrückt, und meldete einen Reg-Modifikationsversuch nach der anderen. Habe ich alle blockiert; einen reboot gab es aber auch nicht.

Wat nu?

RAPPEL001 · 14.06.2005, 23:31

Ach ja, sorry, hier der LOG-File:

(15.6.05 00:16:52) SPSeHjFix started v1.1.2
(15.6.05 00:16:52) OS: WinXP (5.1.2600)
(15.6.05 00:16:52) Language: deutsch
(15.6.05 00:16:52) Win-Path: C:\WINDOWS
(15.6.05 00:16:52) System-Path: C:\WINDOWS\System32
(15.6.05 00:16:52) Temp-Path: C:\DOKUME~1\XXXXXXX\LOKALE~1\Temp\
(15.6.05 00:16:54) Disinfection started
(15.6.05 00:16:54) Bad-Dll(IEP): c:\windows\system32\kxbut.dll
(15.6.05 00:16:55) UBF: 4 - UBB: 3 - UBR: 10
(15.6.05 00:16:55) UBF: 4 - UBB: 3 - UBR: 10
(15.6.05 00:16:55) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\system32\kxbut.dll/sp.html#28129

dartus · 14.06.2005, 23:46

Hallo RAPPEL001,

Zitat:

einen reboot gab es aber auch nicht

Du hast es aber bestimmt von Dir aus gemacht.

Zitat:

Zitat von cronos

Melde dich dann erneut mit einer Logdatei

Gemeint war hier eine Hijackthis-Logdatei nach Anwendung des Tools, da noch was zu machen ist.

dartus

RAPPEL001 · 15.06.2005, 07:32

Vielen Dank Dartus. Un da isse:

Logfile of HijackThis v1.99.1
Scan saved at 08:09:04, on 15.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Symantec\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\TOOLS\Hi jack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://frXXXXXXX.com/tgp/out.php3?l=207
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {22913B6F-2B1A-9876-9E3D-460FBCE942CE} - C:\WINDOWS\winal.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [ConnectionWatch] D:\1\ConWat9x.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1118748995946
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winva32.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Symantec\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Soll ich denn schon mal SP2 anwerfen? Und was hat es mit der "kxbut.dll" -Datei auf sich? Die winva32.exe ist auch wieder da, allerdings nur im Win Ordner.

Wat nu?
Allseits schon mal einen schönen Tag.

RAPPEL001 · 15.06.2005, 07:49

DIese winva32.pf im Verzeichnis C:\windows\prefetch habe ich eben mal rausgeschmissen. War die einzige winvaxxx.xxx die ich noch gefunden habe.

Ich habe noch Zeit, ich schmeiß jetzt mal SP2 auf meine Orgel.

dartus · 15.06.2005, 08:56

Hallo RAPPEL001,

normalerweise sollten die "R1"-Einträge nach Anwendung der SPSeHjFix verschwunden sein. Versuche es nochmal. Wenn kein Reboot erfolgt, entfernen wir es manuell.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

alle "R1"-Einträge (Ausnahme der mit dem Arcor-Hinweis)
O2 - BHO: Class - {22913B6F-2B1A-9876-9E3D-460FBCE942CE} - C:\WINDOWS\winal.dll
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winva32.exe (file missing)

Lösche manuell:
C:\WINDOWS\winal.dll
c:\eied_s7.cab
c:\ex.cab
C:\WINDOWS\System32\vbsys2.dll
C:\WINDOWS\system32\kxbut.dll (wenn es mit dem Tool nicht geklappt hat)

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues HJT-Logfile

dartus

MountainKing · 15.06.2005, 09:03

Welche Fehlermeldung bekommst du beim Updaten denn genau?

Ein neuer Prozess??? Bitte um Hilfe

Plagegeister aller Art und deren Bekämpfung: Ein neuer Prozess??? Bitte um Hilfe