Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: IBM00001.EXE fixen!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.04.2006, 13:32   #1
sky99
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Hallo! Habe mir durch einen Trojaner den lästigen Eintrag in der Registry eingefangen, der bei jedem Programmstart (WIN-ME) meckert, dass er die Datei IBM00001.EXE nicht finden kann.
Mein Virenscanner hat den Trojaner komplett entfernt, auch ADAWARE findet nichts mehr dazu. Nur diese lästige Meldung beim Windows-Start bekomme ich einfach nicht weg. Kann mir bitte jemand helfen? - 1000-Dank!
Hier mein aktuelles HJT-Log-File:


Logfile of HijackThis v1.99.1
Scan saved at 14:27:10, on 30.04.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\WZCBDL SERVICE\WZCBDL9X.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TRAFFICMONITOR\TRAFFICMONITOR.EXE
D:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\D-LINK\AIR USB UTILITY\AIRCFG.EXE
C:\WINDOWS\SYSTEM\E_S4I0S2.EXE
C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\TGEB\TGEB.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\MOZILLA THUNDERBIRD\THUNDERBIRD.EXE
D:\TORRENT\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O7 "EPUSB1:" /M "Stylus C66"
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [WZCBDLService] C:\Programme\WZCBDL Service\WZCBDL9X.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE" autostart
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: eBay - Powersuche - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay - Startseite - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay - Mein eBay - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: Google Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: amazon Suche - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm

Alt 30.04.2006, 13:56   #2
MightyMarc
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Zitat:
Nur diese lästige Meldung beim Windows-Start bekomme ich einfach nicht weg. Kann mir bitte jemand helfen?
1. Start > Ausführen > regedit.exe
2. Bearbeiten > Suchen > IBM00001.EXE
3. Funde löschen
__________________

__________________

Alt 30.04.2006, 14:02   #3
sky99
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Hallo MightyMarc!
Ein Scan in der Registry hat leider nichts gebracht, denn der Begriff ist nicht gefunden worden.
__________________

Alt 30.04.2006, 18:41   #4
felix1
/// Helfer-Team
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Lade RegSeeker
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 30.04.2006, 19:06   #5
MightyMarc
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



[Einschub]
ME verarbeitet doch sicher noch die autoexec.bat, oder?
[/Einschub]

__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 30.04.2006, 20:18   #6
sky99
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



RegSeeker habe ich schon laufen lassen und dabei auch ein paar Einträge löschen können. Das Problem besteht jedoch weiterhin.
Die autoexec.bat ist unverändert und ohne Auffälligkeiten.

Alt 30.04.2006, 20:42   #7
MightyMarc
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



scheduling agent?

Öffne mal die mstask.exe und schau dort mal nach. Vllt ist die ibmxyz.exe als Task eingetragen.

Btw eine Suche in der Registry bringt nicht? Hast Du mit dem vollen Namen gesucht? Wenn ja versuche es nochmal nur mit "ibm".

Sorry, aber ME habe ich übersprungen...
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 30.04.2006, 20:59   #8
sky99
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Habe den Begriff *ibm* in allen möglichen Varianten in der Registry gesucht - leider ohne Erfolg.
Die mstask.exe hab ich eben mit Komando edit geprüft, auch hier kein Eintrag auf den Begriff "ibm" oder ähnliches, ausserdem Datum d. letzten Speicherung vom Juli 2001. - Oder muss ich die mstask anders prüfen, um den Task-Scheduler zu sehen?

Alt 30.04.2006, 21:05   #9
MightyMarc
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



mstask.exe mit edit geöffnet

Der Task-Scheduler sorgt z.B. für Updates und Backups. Die Verknüpfung "Geplante Tasks" ist unter Start->Zubehör->Systemprogramme zu finden.

Diese Verknüpfung sollte afair ein Programmfenster öffnen, welches die geplanten Tasks anzeigt.

Aber vllt solltest Du mal warten bis hier jemand auftaucht, der sich mit den DOS-basierten Windowsversionen noch auskennt. Mir ist so etwas seit mindestens 4 Jahren nicht mehr begegnet.

Edit:

Du könntest bei sysinternals.com mal nach autostarts schauen. Ob das für Win9x/ME funzt weiss ich nicht, dass wirst Du aber sehen.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 30.04.2006, 21:14   #10
sky99
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Die geplante Tasks" unter Start->Zubehör->Systemprogramme sind leer - kein Eintrag. Darum habe ich mir direkt das exe File angesehen, ob hier eine Änderung zu erkennen ist, aber dem ist nicht so.

Alt 30.04.2006, 21:17   #11
Haui45
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Hallo,

erstelle & poste doch mal ein "Silent Runners"-Logfile, evtl. ist daraus etwas ersichtlich.

Alt 30.04.2006, 21:19   #12
Rene-gad
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



@sky99
ich bitte selten darum, aber wenn Du definitiv keine Lust auf format c:\ hast, arbeite bitte eScan-Anleitung durch. Ich fand hier die Beschreibung, bin aber mir nicht sicher, dass die besagten Orden bei ME vorhanden sind.

Alt 30.04.2006, 21:43   #13
sky99
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Hallo Haui!
Hier das LOgfile vom SilentRunner, kannst Du was kritsches erkennen?

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"EPSON Stylus C66 Series" = "C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"" ["SEIKO EPSON CORPORATION"]
"TuneUp MemOptimizer" = ""C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE" autostart" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"TrafficMonitor" = "C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE" ["Mirko Böer"]
"EPSON Stylus C66 Series" = "C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O7 "EPUSB1:" /M "Stylus C66"" ["SEIKO EPSON CORPORATION"]
"InCD" = "D:\Programme\Ahead\InCD\InCD.exe" ["Nero AG"]
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]
"WheelMouse" = "C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE" ["A4Tech Co.,Ltd."]
"CloneCDTray" = ""D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"CmUsbSound" = "RunDll32 cmcnfgu.cpl,CMICtrlWnd" [MS]
"D-Link Air USB Utility" = "C:\Programme\D-Link\Air USB Utility\AirCFG.exe" ["D-Link"]
"tcactive" = "C:\PROGRAMME\THE CLEANER\tca.exe" ["MooSoft Development"]
"tcmonitor" = "C:\PROGRAMME\THE CLEANER\tcm.exe" ["MooSoft Development"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"StillImageMonitor" = "C:\WINDOWS\SYSTEM\STIMON.EXE" [MS]
"KB891711" = "C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]
"WZCBDLService" = "C:\Programme\WZCBDL Service\WZCBDL9X.exe" ["D-Link"]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL" ["Adobe Systems Incorporated"]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "EpsonToolBandKicker Class"
\InProcServer32\(Default) = "C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL" ["SEIKO EPSON CORPORATION"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = (no title provided)
-> {HKLM...CLSID} = "PCTools Browser Monitor"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\TOOLS\IESDPB.DLL" ["PC Tools"]
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = (no title provided)
-> {HKLM...CLSID} = "PCTools Site Guard"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\TOOLS\IESDSG.DLL" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "D:\Programme\Ahead\nero\neroshx.dll" ["Ahead Software AG"]
"{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "D:\PROGRA~1\ERASER\ERASEXT.DLL" ["-"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "D:\PROGRAMME\REAL\REALPLAYER\RPSHELL.DLL" ["RealNetworks, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL" ["("]
"{6B19FEC2-A45B-11CF-9045-00A0C9039735}" = "Registered ActiveX Controls"
-> {HKLM...CLSID} = "Registered ActiveX Controls"
\InProcServer32\(Default) = "D:\PROGRAMME\MICROSOFT VISUAL STUDIO\COMMON\MSDEV98\BIN\IDE\DEVXPGL.DLL" [MS]
"{D545EBD1-BD92-11CF-8772-00A0C9039735}" = "Developer Studio Components"
-> {HKLM...CLSID} = "Developer Studio Components"
\InProcServer32\(Default) = "D:\PROGRAMME\MICROSOFT VISUAL STUDIO\COMMON\MSDEV98\BIN\IDE\DEVXPGL.DLL" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "D:\PROGRAMME\WINACE\arcext.dll" ["e-merge GmbH"]
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "D:\PROGRA~1\ERASER\ERASEXT.DLL" ["-"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL" ["("]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "D:\PROGRAMME\WINACE\arcext.dll" ["e-merge GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL" ["("]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "D:\PROGRA~1\ERASER\ERASEXT.DLL" ["-"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\Welle.jpg"


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]
"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL" ["SEIKO EPSON CORPORATION"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL" ["SEIKO EPSON CORPORATION"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}\
"ButtonText" = "eBay - Homepage"
"CLSIDExtension" = "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
-> {HKLM...CLSID} = "Toolbar Extension for Executable"
\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\SHDOCVW.DLL" [MS]
"Exec" = "D:\Programme\IrfanView\Ebay\Ebay.htm" [null data]

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {HKLM...CLSID} = "PCTools Browser Monitor"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\TOOLS\IESDPB.DLL" ["PC Tools"]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"
[Strings]: SAFESITE_VALUE="ie.search.msn.de"
[Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 3 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
HIJACK WARNING! "TuneUp" = "file://C|/WINDOWS/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON USB Printer Port Monitor\Driver = "EPUSBMN.DLL" ["SEIKO EPSON CORPORATION"]
EPSON V5 Monitor\Driver = "EBPMON.DLL" ["SEIKO EPSON CORPORATION"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 25 seconds, including 13 seconds for message boxes)

Alt 30.04.2006, 21:53   #14
Haui45
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



Zitat:
WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found]
Das ist der Eintrag.
Entfernen solltest du das Ganze so können: Start -> Ausführen -> sysedit -> [Enter] -> SYSTEM.INI auswählen und nur den Eintrag "ibm00001.exe" entfernen, also Explorer.exe etc. stehen lassen!
Ob du das Risiko, diese Datei zu editieren auf dich nehmen willst, bleibt dir aber selbst überlassen

Alt 30.04.2006, 21:56   #15
sky99
 
IBM00001.EXE fixen! - Standard

IBM00001.EXE fixen!



TREFFER!!
Habe in der system.ini den Verweis gefunden und entfernt:

SYSTEM.INI
[boot]
INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found]

Haui, der Tipp mit dem SystemRunner war Klasse - Vielen, vielen Dank!

Antwort

Themen zu IBM00001.EXE fixen!
1.exe, adobe, antivir, bho, datei, ebay, explorer, firefox, hijack, hijackthis, homepage, icqtoolbar, internet, internet explorer, microsoft, mozilla, mozilla firefox, mozilla thunderbird, programme, programmstart, registry, rundll, scan, seite, software, starten, system, trojaner, tuneup utilities, usb



Ähnliche Themen: IBM00001.EXE fixen!


  1. O13 - gopher Prefix: missing Art Sofort fixen! Grundsätzlich fixen!
    Log-Analyse und Auswertung - 03.07.2012 (1)
  2. ibm00001.exe Fehler beim Systemstart
    Log-Analyse und Auswertung - 07.03.2008 (12)
  3. ibm00001.exe Bekomme fehlermeldung nicht weg
    Log-Analyse und Auswertung - 27.01.2007 (5)
  4. ibm00001.exe
    Log-Analyse und Auswertung - 07.01.2007 (10)
  5. ibm00001.exe
    Plagegeister aller Art und deren Bekämpfung - 11.10.2006 (6)
  6. IBM00001.exe
    Plagegeister aller Art und deren Bekämpfung - 23.08.2006 (2)
  7. Probleme mit IBM00001.exe
    Log-Analyse und Auswertung - 21.08.2006 (3)
  8. ibm00001.exe startfehler!
    Plagegeister aller Art und deren Bekämpfung - 09.07.2006 (2)
  9. Ein SEHR großes Porblem mit dem Trojaner ibm00001.exe
    Plagegeister aller Art und deren Bekämpfung - 06.06.2006 (2)
  10. HJT-Log bitte auswerten,wegen ibm00001.exe
    Log-Analyse und Auswertung - 09.05.2006 (10)
  11. Ibm00001.exe
    Plagegeister aller Art und deren Bekämpfung - 07.05.2006 (6)
  12. ibm00001.exe?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2006 (11)
  13. ibm00001.exe entfernen
    Log-Analyse und Auswertung - 01.05.2006 (2)
  14. ibm00001 malware - Bitte helfen
    Log-Analyse und Auswertung - 20.04.2006 (2)
  15. ibm00001.exe
    Log-Analyse und Auswertung - 07.03.2006 (2)
  16. ...\ibm00001.exe ?? verlangsamung beim Hochfahren des PC
    Plagegeister aller Art und deren Bekämpfung - 17.01.2006 (10)
  17. Was ist den fixen?
    Log-Analyse und Auswertung - 14.02.2005 (1)

Zum Thema IBM00001.EXE fixen! - Hallo! Habe mir durch einen Trojaner den lästigen Eintrag in der Registry eingefangen, der bei jedem Programmstart (WIN-ME) meckert, dass er die Datei IBM00001.EXE nicht finden kann. Mein Virenscanner hat - IBM00001.EXE fixen!...
Archiv
Du betrachtest: IBM00001.EXE fixen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.