Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bitte um Auswertung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.12.2005, 17:05   #1
Steph
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Hallo,

Windows meldet: iworm_attck_v122.02a, aber das wird wohl nicht der einzige auf meinem PC sein...

Bin Laie, bitte um Anweisungen in "einfacher Sprache".


Ciao
Steph


HJT:

Logfile of HijackThis v1.99.1
Scan saved at 13:50:20, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\Osa.exe
C:\Programme\Microsoft Office\Office\Findfast.exe
C:\Programme\Webde\SmartSurfer3.1\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp9474.tmp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NI.UWAS5_0001_LP51] "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerInstall[1].exe" -nag
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: Win32 Classes -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C645BE3-55A2-4599-B347-F7082736C760}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe


eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Nov 30 23:19:40 2005 => System found infected with lop.com Spyware/Adware (install.htm)! Action taken: No Action Taken.
Wed Nov 30 23:19:43 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:43 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:43 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:43 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:44 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:44 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:44 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:44 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Nov 30 23:19:45 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\system32\uninstall.exe)! Action taken: No Action Taken.
Wed Nov 30 23:19:46 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\start.exe)! Action taken: No Action Taken.
Wed Nov 30 23:35:42 2005 => File C:\WINDOWS\SYSTEM32\ld8FF4.tmp infected by "Trojan-Downloader.Win32.Zlob.bl" Virus! Action Taken: No Action Taken.
Wed Nov 30 23:50:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Dec 01 00:02:38 2005 => File C:\!KillBox\backup.cab infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Thu Dec 01 00:02:38 2005 => File C:\!KillBox\mssearchnet.exe infected by "Trojan-Downloader.Win32.Zlob.bo" Virus! Action Taken: No Action Taken.
Thu Dec 01 00:02:39 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Nov 30 23:19:01 2005 => File C:\WINDOWS\system32\svchosts.dll tagged as not-a-virusownloader.Win32.Spax.a. No Action Taken.
Wed Nov 30 23:19:07 2005 => File C:\WINDOWS\system32\svchosts.dll tagged as not-a-virusownloader.Win32.Spax.a. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Nov 30 23:19:37 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\audiogalaxy satellite !!!
Wed Nov 30 23:19:38 2005 => Offending Key found: HKLM\Software\kazaa !!!
Wed Nov 30 23:19:38 2005 => Offending Key found: HKCU\Software\kazaa !!!
Wed Nov 30 23:19:38 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\time zones !!!
Wed Nov 30 23:19:40 2005 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1
Wed Nov 30 23:19:40 2005 => Offending file found: C:\Programme\install.htm
Wed Nov 30 23:19:43 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\0mxafny0\common[1].js
Wed Nov 30 23:19:43 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\aa0hlmj2\common[1].js
Wed Nov 30 23:19:43 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\lmrdnahb\common[1].js
Wed Nov 30 23:19:43 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\6bovwb8j\common[1].js
Wed Nov 30 23:19:44 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\0mxafny0\common[1].js
Wed Nov 30 23:19:44 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\aa0hlmj2\common[1].js
Wed Nov 30 23:19:44 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\lmrdnahb\common[1].js
Wed Nov 30 23:19:44 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\6bovwb8j\common[1].js
Wed Nov 30 23:19:45 2005 => Offending file found: C:\WINDOWS\system32\uninstall.exe
Wed Nov 30 23:19:46 2005 => Offending file found: C:\WINDOWS\start.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 01 00:02:39 2005 => Total Virus(es) Found: 21
Thu Dec 01 00:02:39 2005 => Total Errors: 179
Thu Dec 01 00:02:39 2005 => Time Elapsed: 00:43:41
Thu Dec 01 00:02:39 2005 => Total Objects Scanned: 39694
Thu Dec 01 00:02:39 2005 => Virus Database Date: 2005/11/28
Thu Dec 01 00:03:12 2005 => Virus Database Date: 2005/11/28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Geändert von Steph (01.12.2005 um 17:20 Uhr)

Alt 01.12.2005, 17:16   #2
JayP
 

Bitte um Auswertung - Standard

Bitte um Auswertung



Hallo,
fixe bitte folgende Einträge:
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe

Und scanne danach deinen PC erneut mit einem AVP.

Was ist das?Kennt das einer?
O16 - DPF: Win32 Classes -
__________________


Alt 01.12.2005, 17:39   #3
Steph
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Hallo,

die angegebenen Einträge erscheinen aber gar nicht in dem HJT-Fenster, wo man fixen kann. Und nu?
__________________

Alt 01.12.2005, 17:46   #4
JayP
 

Bitte um Auswertung - Standard

Bitte um Auswertung



Schau unter den angegebenen Pfaden nach und lösche diese Dateien.

Alt 01.12.2005, 18:21   #5
Steph
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Die mssearchnet.exe hab ich mit der Killbox gelöscht, bei der anderen sagt die Killbox, dass die Datei nicht gelöscht werden kann.


Alt 01.12.2005, 18:25   #6
JayP
 

Bitte um Auswertung - Standard

Bitte um Auswertung



Hier les dir das mal durch ,das sollte dir helfen.
h**p://www.sophos.de/virusinfo/analyses/trojzlobbc.html

Alt 01.12.2005, 18:34   #7
Haui45
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Hallo Steph,

führe bitte folgendes durch und poste alle geforderten Logfiles: http://www.trojaner-board.de/showthread.php?t=21709
Lösche außerdem die temporären Dateien von Windows und vom Internet Explorer mit ClearProg.
Scanne die Datei "C:\Windows\start.exe" bitte auf http://virusscan.jotti.org/de und poste das Ergebnis.

Alt 01.12.2005, 23:28   #8
Steph
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Hallo Haui,

das mit Diskcleanup hat nicht geklappt, wenn ichs richtig verstanden hab, sollte nach der Runthis.bat automatisch Diskcleanup aufgehen, war aber nicht. Ansonsten alles nach Anweisung gemacht. Mit Clearprog hab ich in Windows nur "Windows Temp Verzeichis" gelöscht, in IE hab ich alles außer "Index.dat" gelöscht.
Hier die Ergebnisse:

HJT:

Logfile of HijackThis v1.99.1
Scan saved at 23:44:23, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\Office\Osa.exe
C:\Programme\Microsoft Office\Office\Findfast.exe
C:\Programme\Webde\SmartSurfer3.1\SmartSurfer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp7547.tmp (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NI.UWAS5_0001_LP51] "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerInstall[1].exe" -nag
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C645BE3-55A2-4599-B347-F7082736C760}: NameServer = 213.20.248.36 193.189.244.205
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe


eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 01 22:46:56 2005 => System found infected with lop.com Spyware/Adware (install.htm)! Action taken: No Action Taken.
Thu Dec 01 22:46:58 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:46:58 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:46:58 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:46:58 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:46:59 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:46:59 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:46:59 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:46:59 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Thu Dec 01 22:47:01 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\system32\uninstall.exe)! Action taken: No Action Taken.
Thu Dec 01 22:47:01 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\start.exe)! Action taken: No Action Taken.
Thu Dec 01 23:17:03 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Dec 01 23:29:51 2005 => File C:\!KillBox\backup.cab infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Thu Dec 01 23:29:53 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 01 22:46:16 2005 => File C:\WINDOWS\system32\svchosts.dll tagged as not-a-virusownloader.Win32.Spax.a. No Action Taken.
Thu Dec 01 22:46:22 2005 => File C:\WINDOWS\system32\svchosts.dll tagged as not-a-virusownloader.Win32.Spax.a. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 01 22:46:53 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\audiogalaxy satellite !!!
Thu Dec 01 22:46:53 2005 => Offending Key found: HKLM\Software\kazaa !!!
Thu Dec 01 22:46:53 2005 => Offending Key found: HKCU\Software\kazaa !!!
Thu Dec 01 22:46:53 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\time zones !!!
Thu Dec 01 22:46:55 2005 => Offending Folder found: C:\WINDOWS\DOWNLO~1\conflict.1
Thu Dec 01 22:46:56 2005 => Offending file found: C:\Programme\install.htm
Thu Dec 01 22:46:58 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\0mxafny0\common[1].js
Thu Dec 01 22:46:58 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\aa0hlmj2\common[1].js
Thu Dec 01 22:46:58 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\lmrdnahb\common[1].js
Thu Dec 01 22:46:58 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\6bovwb8j\common[1].js
Thu Dec 01 22:46:59 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\0mxafny0\common[1].js
Thu Dec 01 22:46:59 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\aa0hlmj2\common[1].js
Thu Dec 01 22:46:59 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\lmrdnahb\common[1].js
Thu Dec 01 22:46:59 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\6bovwb8j\common[1].js
Thu Dec 01 22:47:01 2005 => Offending file found: C:\WINDOWS\system32\uninstall.exe
Thu Dec 01 22:47:01 2005 => Offending file found: C:\WINDOWS\start.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Dec 01 23:29:53 2005 => Total Virus(es) Found: 19
Thu Dec 01 23:29:53 2005 => Total Errors: 201
Thu Dec 01 23:29:53 2005 => Time Elapsed: 01:34:52
Thu Dec 01 23:29:53 2005 => Total Objects Scanned: 39145
Thu Dec 01 23:29:53 2005 => Virus Database Date: 2005/11/28
Thu Dec 01 23:35:18 2005 => Virus Database Date: 2005/11/28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


smitfiles.txt:


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Jotti:

Auslastung: 0% 100%

Datei: start.exe
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Alt 01.12.2005, 23:48   #9
Haui45
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Schaut ja schon besser aus.

Starte den PC im abgesicherten Modus.

Verwende CWShredder.

Fixe mit HijackThis:
Zitat:
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp7547.tmp (file missing)
O4 - HKLM\..\Run: [NI.UWAS5_0001_LP51] "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerIn stall[1].exe" -nag
Lösche diese Dateien:
C:\WINDOWS\system32\svchosts.dll
C:\bases_x\mwav.log

Wende ClearProg nochmals an (du kannst beim IE alles anhaken und bei Windows eigentlich auch. Beim Papierkorb und den zuletzt verwendeten Dateien etc. musst du selbst entscheiden).

Scanne dein System mit ewido (vorher im Normalmodus updaten!).

Neustart.

Die Ergebnisse von ewido und CWShredder posten.
Überprüfe diese Dateien auf http://www.virustotal.com und poste das Ergebnis:
Zitat:
C:\WINDOWS\system32\uninstall.exe
C:\WINDOWS\start.exe

Alt 02.12.2005, 18:04   #10
Steph
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Hallo Haui,

diese Datei konnte nicht gefixt werden:
O4 - HKLM\..\Run: [NI.UWAS5_0001_LP51] "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerIn stall[1].exe" -nag

Nach dem fixen war sie einfach noch da, keine Fehlermeldung. Ich hab versucht, sie manuell zu löschen, aber der Ordner Temporary Internet Files ist leer.

Das Scannen auf Virustotal hat nicht funktioniert, ich hab nach 5 Minuten abgebrochen, als immer noch kein Ergebnis da war. Die Fortschrittsanzeige (der blaue Balken) von IE ging immer vor und zurück.

Hier die übrigen Ergebnisse:

CWShredder hat nichts gefunden, hier der Report:

**** Run Keys ****

RUN: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
RUN: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
RUN: [NI.UWAS5_0001_LP51] "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerInstall[1].exe" -nag
RUN: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
RUN: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
RUN: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe


**** Browser Helper Objects ****

BHO: [HomepageBHO] C:\WINDOWS\system32\hp7547.tmp


**** IE Toolbars ****



**** IE Extensions ****

IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe


**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

IEBypass: <local>
Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\system32\blank.htm
Search Bar: http://search.msn.com/spbasic.htm
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{785CE004-6765-4A1A-98D2-4D5ADA1FB453}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{785CE004-6765-4A1A-98D2-4D5ADA1FB453}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CAE69FD4-BFEF-4306-AF02-71AEC890C4F0}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CAE69FD4-BFEF-4306-AF02-71AEC890C4F0}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2D60F9FF-1DF4-45E9-A5FF-8A33FA396CEB}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2D60F9FF-1DF4-45E9-A5FF-8A33FA396CEB}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C1A428AD-E954-4B4E-A44C-FCEAE48DA1FC}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C1A428AD-E954-4B4E-A44C-FCEAE48DA1FC}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8C645BE3-55A2-4599-B347-F7082736C760}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8C645BE3-55A2-4599-B347-F7082736C760}] DATAGRAM 4


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No
BLOCKED: [snd.cpl] no
BLOCKED: [joystick.cpl] no
BLOCKED: [midimap.drv] no


**** Downloaded Program Files ****

DirectAnimation Java Classes [file://C:\WINDOWS\SYSTEM\dajava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]
Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso4.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\system32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE"
[BITS] %SystemRoot%\system32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\system32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch
[Dhcp] %SystemRoot%\system32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\system32\svchost.exe -k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\system32\svchost.exe -k netsvcs
[ewido security suite control] C:\Programme\ewido\security suite\ewidoctrl.exe
[ewido security suite guard] C:\Programme\ewido\security suite\ewidoguard.exe
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[ImapiService] C:\WINDOWS\system32\imapi.exe
[lanmanserver] %SystemRoot%\system32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\system32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\system32\svchost.exe -k LocalService
[Messenger] %SystemRoot%\system32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\system32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\system32\msdtc.exe
[MSIServer] C:\WINDOWS\system32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\system32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\system32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\system32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\system32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\system32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\system32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\system32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\system32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\system32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\system32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\system32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\system32\dllhost.exe /Processid:{7D738C33-E56C-49F8-B65F-4A8B158DCD98}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost -k DComLaunch
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\system32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[upnphost] %SystemRoot%\system32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[vsmon] C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe -service
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\system32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\system32\wbem\wmiapsrv.exe
[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com
SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
SEARCH: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch


**** Complete IE Options ****

IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] http://www.google.de/
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Show_ChannelBand] No
IEOPT: [LastCheckedHi] %lÄ
IEOPT: [NotifyDownloadComplete] no
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [Use FormSuggest] no
IEOPT: [AddToFavoritesExpanded]
IEOPT: [NoUpdateCheck]
IEOPT: [ShowGoButton] no
IEOPT: [NoJITSetup]
IEOPT: [Friendly http errors] yes
IEOPT: [NscSingleExpand]
IEOPT: [SmoothScroll]
IEOPT: [Page_Transitions]
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Print_Background] no
IEOPT: [Expand Alt Text] no
IEOPT: [Move System Caret] no
IEOPT: [Play_Animations] no
IEOPT: [Show image placeholders]
IEOPT: [Play_Background_Sounds] no
IEOPT: [Display Inline Videos] no
IEOPT: [AutoSearch]
IEOPT: [Check_Associations] no
IEOPT: [HistoryViewType]
IEOPT: [FormSuggest Passwords] yes
IEOPT: [FormSuggest PW Ask] yes
IEOPT: [Toolbars_Placement]
IEOPT: [Force Offscreen Composition]
IEOPT: [Enable Browser Extensions] no
IEOPT: [NoWebJITSetup]
IEOPT: [AllowWindowReuse]
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [Save Directory] C:\Dokumente und Einstellungen\User\Eigene Dateien\
IEOPT: [Disable Script Debugger] yes
IEOPT: [Search Bar] http://search.msn.com/spbasic.htm
IEOPT: [Use Custom Search URL]
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IEOPT: [Wizard_Version] 6.00.2600.0000
IEOPT: [FullScreen] no
IEOPT: [Use Search Asst] no


Evido Report:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:29:20, 02.12.2005
+ Report-Checksumme: 5D4B20D1

+ Scanergebnis:

C:\!KillBox\mssearchnet.exe -> Downloader.Zlob.bu : Gesäubert mit Backup


::Report Ende

Alt 02.12.2005, 18:31   #11
Haui45
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Kopiere die folgenden Pfade in Killbox und lösche die Dateien mit einem Neustart.
Zitat:
"C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerIn stall[1].exe"
C:\WINDOWS\system32\hp7547.tmp
Starte den PC im abgesicherten Modus (stell sicher, dass der TeaTimer von Spybot S&D deaktiviert ist) und mach folgendes:
Start-> Ausführen-> "notepad" eingeben -> [Enter]
Gib den folgenden Text ein und speichere das Ganze als Text.bat ab (die Endung ".bat" ist wichtig!)
Zitat:
reg delete "HKLM\Software\Microsoft\CurrentVersion\Run" /v NI.UWAS5_0001_LP51
Doppelklick darauf-> die Medlung mit "Ja" bestätigen.

Fixe den O2-Eintrag mit HijackThis.

Neustart.

Erstelle und poste ein Silent Runners-Logfile sowie ein HijackThis-Log.

bzgl. der beiden Dateien: Benenne sie in "uninstall.exe_old" und "start.exe_old" um.

Alt 02.12.2005, 20:34   #12
Steph
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Aaalso... erst mal ein Zwischen-dank für deine Hilfe

Ich habe die angegebenen Pfade in Killbox kopiert und auf "Delete on reboot" geklickt, dann hat er folgendes Fenster gezeigt (und nicht neu gestartet):

PendingFileRenameOperations Registry Data has been removed by external Process!

Das mit der Text.bat hat funktioniert (glaube ich), aber es gab keinen O2-Eintrag. Es gab einen O4-Eintrag, der sich auf die zuvor erstellte Text.bat bezog, also NI.UWAS5_0001_LP51.... Ich wollte den dann fixen, ging aber nicht.

Das mit Virustotal hat trotz _old nicht funktioniert.

Silent Runners:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Zone Labs Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs LLC"]
"NI.UWAS5_0001_LP51" = ""C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerInstall[1].exe" -nag " [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{5b4dae26-b807-11d0-9815-00c04fd91972}" = "Menu Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"{8278F931-2A3E-11d2-838F-00C04FD918D0}" = "Tracking Shell Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}" = "Menu Site"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}" = "Menu Desk Bar"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}" = "IShellFolderBand"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}" = "&Links"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"{7487cd30-f71a-11d0-9ea7-00805f714772}" = "Thumbnail Image"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}" = "Miniaturansicht"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM32\THUMBVW.DLL" [file not found]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Sammelmappen-Teiler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\olkfstub.dll" [MS]
"{8DE56A0D-E58B-41FE-9F80-3563CDCB2C22}" = "Standardbildextraktor für Eigenschaften"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM32\THUMBVW.DLL" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
M2WShlExMenu\(Default) = "{DC6FA7E0-6666-11D5-8CE2-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\ACOUSTICA MP3 TO WAVE CONVERTER PLUS\M2WShlEx.dll" ["Acoustica"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssbezier.scr" [MS]


Startup items in "User" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\Osa.exe -b" [MS]
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\Findfast.exe" [MS]
"Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"SmartSurfer" -> shortcut to: "C:\Programme\Webde\SmartSurfer3.1\SmartSurfer.exe -m" ["WEB.DE"]


Enabled Scheduled Tasks:
------------------------

"Erinnerung für den Deinstallationsablauf" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /u /n:1" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe -service" ["Zone Labs LLC"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 77 seconds, including 18 seconds for message boxes)


HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:18:10, on 02.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\Office\Osa.exe
C:\Programme\Microsoft Office\Office\Findfast.exe
C:\Programme\Webde\SmartSurfer3.1\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\Winword.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NI.UWAS5_0001_LP51] "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AA0HLMJ2\WinAntiSpywareScannerInstall[1].exe" -nag
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C645BE3-55A2-4599-B347-F7082736C760}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

Alt 02.12.2005, 21:41   #13
Haui45
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Sorry, mir ist vorhin ein kleiner Fehler bei der bat-Datei unterlaufen
Lade bitte die angehängte Datei herunter und benenne sie in regdelete.bat um. Deaktiviere den TeaTimer in Spybot S&D (wichtig!). Starte die Datei-> Poste den Inhalt der sich automatisch öffnenden C:\Reginfo.txt

Lade dir außerdem dieses Programm herunter und entpacke die enthaltenen Dateien in einen Ordner deiner Wahl. Starte die "regsearch.exe" und kopiere unter "Enter search strings" folgendes hinein:
Zitat:
NI.UWAS5_0001_LP51
-> Auf OK klicken und etwas warten-> ein Notepad-Fenster öffnet sich-> Poste den Inhalt.

Alt 02.12.2005, 22:20   #14
Steph
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Ich hab auch nen Fehler gemacht: bei den vorhergehenden Schritten im abgesicherten Modus kanns sein, dass Tea Timer doch nicht deaktiviert war, hab mich ein bisschen blöd angestellt...(muss ich das jetzt alles noch mal machen??)

Diesmal aber alles nach Vorschrift:

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 02.12.2005 23:12:44 for strings:
; 'ni.uwas5_0001_lp51 '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\]
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

Alt 02.12.2005, 22:27   #15
Haui45
 
Bitte um Auswertung - Standard

Bitte um Auswertung



Das schaut doch schon sehr gut aus. Der Eintrag dürfte nun auch nicht mehr in HjT auftauchen
Gibt's noch Probleme?



Gruß Haui

P.S.: Verwende in Zukunft noch einen alternativen Browser.

Antwort

Themen zu Bitte um Auswertung
adobe, antivir, auswertung, bho, button, content.ie5, dateien, einstellungen, explorer, hijack, hijackthis, infected, install.exe, internet, internet explorer, messenger, microsoft, monitor, office, programme, software, system, system32, update, virus, win32, windows xp



Ähnliche Themen: Bitte um Auswertung


  1. Bitte um Auswertung
    Log-Analyse und Auswertung - 02.02.2008 (0)
  2. Bitte um Auswertung
    Mülltonne - 02.02.2008 (1)
  3. Bitte um Auswertung
    Log-Analyse und Auswertung - 26.12.2007 (2)
  4. bitte um auswertung
    Log-Analyse und Auswertung - 20.12.2007 (4)
  5. Bitte um Auswertung
    Log-Analyse und Auswertung - 07.11.2007 (2)
  6. Bitte um Auswertung
    Log-Analyse und Auswertung - 07.11.2007 (6)
  7. Auswertung bitte
    Mülltonne - 06.11.2007 (0)
  8. bitte um auswertung
    Log-Analyse und Auswertung - 11.04.2007 (6)
  9. bitte um Auswertung
    Log-Analyse und Auswertung - 28.09.2006 (1)
  10. Auswertung Bitte
    Log-Analyse und Auswertung - 23.07.2006 (8)
  11. Bitte um Auswertung
    Log-Analyse und Auswertung - 17.07.2006 (4)
  12. Bitte um Auswertung
    Log-Analyse und Auswertung - 16.07.2006 (2)
  13. Bitte um Auswertung
    Log-Analyse und Auswertung - 30.12.2005 (2)
  14. bitte um Auswertung, was ist das O23?
    Log-Analyse und Auswertung - 16.08.2005 (1)
  15. Bitte !! Hilfe bei der Log Auswertung !! Bitte
    Log-Analyse und Auswertung - 17.12.2004 (1)
  16. Bitte um Auswertung !!
    Log-Analyse und Auswertung - 28.09.2004 (3)
  17. bitte um auswertung vom log
    Log-Analyse und Auswertung - 13.07.2004 (4)

Zum Thema Bitte um Auswertung - Hallo, Windows meldet: iworm_attck_v122.02a, aber das wird wohl nicht der einzige auf meinem PC sein... Bin Laie, bitte um Anweisungen in "einfacher Sprache". Ciao Steph HJT: Logfile of HijackThis v1.99.1 - Bitte um Auswertung...
Archiv
Du betrachtest: Bitte um Auswertung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.