Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Symantec AntiVirus meldet: Adware.VirtuMonde (https://www.trojaner-board.de/46901-symantec-antivirus-meldet-adware-virtumonde.html)

mattis 12.12.2007 12:36
Symantec AntiVirus meldet: Adware.VirtuMonde
 
Mein Symantec AntiVirus meldet folgendes erkannte Risiko: Adware.VirtuMonde
Die Quelladresse lautet: c:\windows\system32\
Der Dateiname lautet: urqqrol.dll
Laut Spybot

Hier das hijackthis-Protoll:

Logfile of HijackThis v1.99.1
Scan saved at 11:30:12, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\acs.exe
C:\maint\sid\disth\disth.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.exe
C:\WINDOWS\system32\PMService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.exe
C:\Program Files\Börse 2007\bin\watchdog.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\CSCRIPT.EXE
C:\WINDOWS\system32\cscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DoScan.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Level One\Firmware\WLANPRO.exe
C:\Program Files\Siegfried_Weckmann\Hardcopy_14_XL\hardcopy.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = AO Z - Home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ACSrun] "%SystemRoot%\system32\usrlogon.bat"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [EPA_EZ_GPO_Tool] C:\WINDOWS\system32\EZ_GPO_Tool.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: AS Client-Manager.lnk = C:\VUS2001\System\ZACLIENT.EXE
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Program Files\Level One\Firmware\WLANPRO.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft\Office_XP_XL\Office10\OSA.EXE
O4 - Global Startup: Reg.lnk = ?
O4 - Global Startup: Siegfried Weckmann Hardcopy 14.5 XL.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O15 - Trusted Zone: *.ao-dh.de
O15 - Trusted Zone: *.ao-z.de
O15 - Trusted Zone: *.aodh.de
O15 - Trusted Zone: *.aoz.de
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de
O15 - Trusted Zone: *.bvk.de
O15 - Trusted Zone: *.dws-direkt.deutsche-bank.de
O15 - Trusted Zone: *.deutsche-versicherungsboerse.de
O15 - Trusted Zone: *.dkv.com
O15 - Trusted Zone: *.dkv.de
O15 - Trusted Zone: *.info.dws.com
O15 - Trusted Zone: *.info.dws.de
O15 - Trusted Zone: *.dws.de
O15 - Trusted Zone: *.dwsgo.de
O15 - Trusted Zone: *.gdvonline.de
O15 - Trusted Zone: *.gmx.net
O15 - Trusted Zone: *.heeseshop.de
O15 - Trusted Zone: *.herold-vertrieb.de
O15 - Trusted Zone: *.herold.de
O15 - Trusted Zone: *.banking.ing-diba.de
O15 - Trusted Zone: *.IVZDH.de
O15 - Trusted Zone: *.maklerweb.de
O15 - Trusted Zone: *.orgam.de
O15 - Trusted Zone: *.vantage-kicks-ass.de
O15 - Trusted Zone: *.vantage-kicks-ass.net
O15 - Trusted Zone: *.vantagefunclub.ru
O15 - Trusted Zone: *.volkswagenbank.de
O15 - Trusted Zone: *.vtr1000.de
O15 - Trusted Zone: *.werder.de
O15 - Trusted Zone: *.zuerich.com
O15 - Trusted Zone: *.zuerich.de
O15 - Trusted Zone: *.zurich.com
O15 - Trusted Zone: *.zurich.de
O15 - Trusted Zone: *.ao-dh.de (HKLM)
O15 - Trusted Zone: *.ao-z.de (HKLM)
O15 - Trusted Zone: *.aodh.de (HKLM)
O15 - Trusted Zone: *.aoz.de (HKLM)
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de (HKLM)
O15 - Trusted Zone: *.dkv.com (HKLM)
O15 - Trusted Zone: *.dkv.de (HKLM)
O15 - Trusted Zone: *.gdvonline.de (HKLM)
O15 - Trusted Zone: *.herold-vertrieb.de (HKLM)
O15 - Trusted Zone: *.herold.de (HKLM)
O15 - Trusted Zone: *.maklerweb.de (HKLM)
O15 - Trusted Zone: *.orgam.de (HKLM)
O15 - Trusted Zone: *.zuerich.com (HKLM)
O15 - Trusted Zone: *.zuerich.de (HKLM)
O15 - Trusted Zone: *.zurich.com (HKLM)
O15 - Trusted Zone: *.zurich.de (HKLM)
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BDA7D2-1C8E-4B12-BEB7-9791C0689685}: Domain = oop.zfs
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = oop.zfs
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: BBDistHandler - Unknown owner - %SystemDrive%\maint\sid\disth\disth.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe
O23 - Service: Energy Star(TM) EZ GPO Power Management Configuration Tool (EPA_GPO_PMService) - TerraNovum - C:\WINDOWS\system32\PMService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.exe
O23 - Service: WisoBoerseWatchDog - market maker Software AG - C:\Program Files\Börse 2007\bin\watchdog.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

undoreal 12.12.2007 12:53
Halöle.

Folge bitte dieser Anleitung. Wiederhole sie so oft, bis nnichts mehr gefunden wird.

Danach lässt du cCleaner laufen. Registry bitte mehrmals durchsuchen und Bereinigen lassen.

Danach poste bitte ein Hijackthis log.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

mattis 12.12.2007 14:09
Hallo undoreal !
Ich habe "VundoFix" suchen lassen aber das Programm hat nicht gefunden.
Somit habe ich mit den "CCleaner" die Registry auch nicht bereinigen lassen.

Vielleicht hilft es zu wissen, daß die DLL ( urqqrol.dll ) laut Spybot in winlogon.exe als geladenes Modul erkennbar ist. Beim beenden des Modul, urqqrol.dll, meldet das System einen schwerwiegenden Fehler und beendet Windows.
Löschen läßt sich die " urqqrol.dll " aus den System32 auch nicht da die Datei von einer anderen Person bzw. einem anderen Computer verwendet wird. Auch im ABGESICHERTEN MODUS ist das Löschen nicht möglich.

Ich weis mir nun wirklich nicht mehr zu helfen, da ich schon seit mehreren Tagen nichts anderes versuchen diesen Schädling zu entfernen.

BITTE HELFT MIT!!! :headbang:
Ihr könnt sicherlich aus meinem hijackthis-Protokoll (siehe unten) mehr erkannen als ich!

11Boy11 12.12.2007 14:38
Hi,

guck mal, ob der Virus mit Avenger zu löschen ist!
-----------------------
- "Input script manually" anhacken
- Auf die Lupe klicken
- kopiere anschließend in "View/edit script" :

Zitat:
Files to delete:
C:\WINDOWS\system32\urqqrol.dll
- Done klicken
- die gruene Ampel anklicken

...das Script wird nun ausgeführt. dann wird der PC automatisch neustarten


... dann schauen wir weiter! :)

mattis 12.12.2007 14:56
Hi 11Boy11,
vielen Dank für Deine Hilfe, aber sag mir mal ob ich nach dem:
- kopiere anschließend in "View/edit script" :
muß ich danach auf DONE und dann auf die die Ampel klicken?

Cleriker 12.12.2007 15:06
*11Boy11's Ausführungen erweitere . . .* :D
...
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

mfg Cleriker

mattis 12.12.2007 15:08
Leider startet das Scrip nicht, sondern bringt folgende Fehlermeldung:

Error: selected file does not appear to be a valid script.
Error code: 0

BataAlexander 12.12.2007 15:20
mattis ist dies ein beruflich genutztes System?

mattis 12.12.2007 15:25
ja, wieso?

BataAlexander 12.12.2007 15:26
Bei beruflich genutzten System gibt es hier imho keinen Support.
In dem Fall wende Dich an den zuständigen Systemadmin.

mattis 12.12.2007 15:27
Ich bin der Systemadmin!

undoreal 12.12.2007 15:37
Moin Bata.. :party:

@mattis:

warum ist das Hijack log noch nicht hier?

Auch wenn du der Systemadmin bist sollte im TB kein Support für kommerziell genutzte Rechner geleistet werden da wir keine Haftung übernehmen können und wollen..

mattis 12.12.2007 15:40
Habe ich schon in ersten Threat gepostet, aber sende ich gern nochmal.
Bin wirklich auf Hilfe angewiesen!!!!!!!!

Hier das hijackthis-Protoll:

Logfile of HijackThis v1.99.1
Scan saved at 11:30:12, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\acs.exe
C:\maint\sid\disth\disth.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.e xe
C:\WINDOWS\system32\PMService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.ex e
C:\Program Files\Börse 2007\bin\watchdog.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\CSCRIPT.EXE
C:\WINDOWS\system32\cscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DoScan.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Level One\Firmware\WLANPRO.exe
C:\Program Files\Siegfried_Weckmann\Hardcopy_14_XL\hardcopy.e xe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = AO Z - Home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ACSrun] "%SystemRoot%\system32\usrlogon.bat"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [EPA_EZ_GPO_Tool] C:\WINDOWS\system32\EZ_GPO_Tool.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: AS Client-Manager.lnk = C:\VUS2001\System\ZACLIENT.EXE
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Program Files\Level One\Firmware\WLANPRO.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft\Office_XP_XL\Office10\OSA.EXE
O4 - Global Startup: Reg.lnk = ?
O4 - Global Startup: Siegfried Weckmann Hardcopy 14.5 XL.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O15 - Trusted Zone: *.ao-dh.de
O15 - Trusted Zone: *.ao-z.de
O15 - Trusted Zone: *.aodh.de
O15 - Trusted Zone: *.aoz.de
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de
O15 - Trusted Zone: *.bvk.de
O15 - Trusted Zone: *.dws-direkt.deutsche-bank.de
O15 - Trusted Zone: *.deutsche-versicherungsboerse.de
O15 - Trusted Zone: *.dkv.com
O15 - Trusted Zone: *.dkv.de
O15 - Trusted Zone: *.info.dws.com
O15 - Trusted Zone: *.info.dws.de
O15 - Trusted Zone: *.dws.de
O15 - Trusted Zone: *.dwsgo.de
O15 - Trusted Zone: *.gdvonline.de
O15 - Trusted Zone: *.gmx.net
O15 - Trusted Zone: *.heeseshop.de
O15 - Trusted Zone: *.herold-vertrieb.de
O15 - Trusted Zone: *.herold.de
O15 - Trusted Zone: *.banking.ing-diba.de
O15 - Trusted Zone: *.IVZDH.de
O15 - Trusted Zone: *.maklerweb.de
O15 - Trusted Zone: *.orgam.de
O15 - Trusted Zone: *.vantage-kicks-ass.de
O15 - Trusted Zone: *.vantage-kicks-ass.net
O15 - Trusted Zone: *.vantagefunclub.ru
O15 - Trusted Zone: *.volkswagenbank.de
O15 - Trusted Zone: *.vtr1000.de
O15 - Trusted Zone: *.werder.de
O15 - Trusted Zone: *.zuerich.com
O15 - Trusted Zone: *.zuerich.de
O15 - Trusted Zone: *.zurich.com
O15 - Trusted Zone: *.zurich.de
O15 - Trusted Zone: *.ao-dh.de (HKLM)
O15 - Trusted Zone: *.ao-z.de (HKLM)
O15 - Trusted Zone: *.aodh.de (HKLM)
O15 - Trusted Zone: *.aoz.de (HKLM)
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de (HKLM)
O15 - Trusted Zone: *.dkv.com (HKLM)
O15 - Trusted Zone: *.dkv.de (HKLM)
O15 - Trusted Zone: *.gdvonline.de (HKLM)
O15 - Trusted Zone: *.herold-vertrieb.de (HKLM)
O15 - Trusted Zone: *.herold.de (HKLM)
O15 - Trusted Zone: *.maklerweb.de (HKLM)
O15 - Trusted Zone: *.orgam.de (HKLM)
O15 - Trusted Zone: *.zuerich.com (HKLM)
O15 - Trusted Zone: *.zuerich.de (HKLM)
O15 - Trusted Zone: *.zurich.com (HKLM)
O15 - Trusted Zone: *.zurich.de (HKLM)
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BDA7D2-1C8E-4B12-BEB7-9791C0689685}: Domain = oop.zfs
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = oop.zfs
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: BBDistHandler - Unknown owner - %SystemDrive%\maint\sid\disth\disth.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.e xe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe
O23 - Service: Energy Star(TM) EZ GPO Power Management Configuration Tool (EPA_GPO_PMService) - TerraNovum - C:\WINDOWS\system32\PMService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\SavRoam.ex e
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.ex e
O23 - Service: WisoBoerseWatchDog - market maker Software AG - C:\Program Files\Börse 2007\bin\watchdog.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

mattis 12.12.2007 15:42
PS: Ich schließe alle Haftungsansprüche hiermit aus!

Aber bitte helft mir!

11Boy11 12.12.2007 15:53
Hallo,

kam beim Avenger weiterhin zu Fehlermeldungen?

Wir versuchen es im abgesicherten Modus mit der Killbox.

- "Delete on Reboot" anhaken
- Bei "Full Path..."
Zitat:
C:\WINDOWS\system32\urqqrol.dll
reinkopieren

- klicke auf das rote Kreuz
- dann wird gefragt: "Do you want to reboot? "
- klicke "yes"

anschließend PC neustarten.

mattis 12.12.2007 15:57
Vielen Dank für Deine Hilfe, 11Boy11!

Ich habe richtig verstanden!? Ich starte die KILLBOX aus dem abgesicherten Modus heraus?

11Boy11 12.12.2007 15:58
Zitat:
Zitat von mattis (Beitrag 309578)
Ich habe richtig verstanden!? Ich starte die KILLBOX aus dem abgesicherten Modus heraus?
Ja, richtig.

----------------------------------

Danach weiterhin im abgesicherten Modus:

Cureit reinigen lassen:

mattis 12.12.2007 16:00
Ich werde Deinen Anweisung folgen und mich anschließend melden.
Vielen Dank!

mattis 12.12.2007 16:20
Leider hat auch nichts gebracht, da die DLL im scheinbar Gebrauch ist.
KILLBOX meldete folgenden Fehler in abgesicherten Modus:

PendingFileRenameOperations Registry Date has been Removed by External Process!

Vielleicht habt Ihr weitere Vorschläge?

11Boy11 12.12.2007 16:22
Hi,

hast du Cureit durchlaufen lassen?

mattis 12.12.2007 16:24
Nein, kenne ich auch noch nicht!

mattis 12.12.2007 16:27
So!
Habe cureit runter gelanden.
So ich es auch im abgesicherten Modus laufen lassen?

11Boy11 12.12.2007 16:30
Zitat:
....KILLBOX meldete folgenden Fehler in abgesicherten Modus:

PendingFileRenameOperations Registry Date has been Removed by External Process!
Ich glaube, der eintrag der Killbox wurde vom Virus entfernt, bevor er überhaupt ausgeführt werden konnte!

_____________
Zitat:
... im abgesichertden Modus?
Ja!

mattis 12.12.2007 16:37
Ich denke, daß KillBox auf die urqqrol.dll deshalb nicht zugegriffen werden kann, da Sie von lt. SpyBot das Modul: urqqrol.dll von winlogon benutz wird.
Und das auch wenn ich im abgesicherten Modus arbeite.

mattis 12.12.2007 16:39
SO ich werde jetzt kurzCureIt im abgesicherten Modus ausführen und mich anschließend wieder melden.
Aber vielleicht vorher noch ne Frage:
Muß ich bei CureIt irgend etwas beachten?

11Boy11 12.12.2007 16:45
Hi,

am besten ist, wenn du das Programm startest, und dann auf das Stop zeichen drückst (Geht erst, wenn es grün ist)
Dann änderst du links "Schnelle überprüfung" auf "Komplette Prüfung"
Dann wieder auf das Start zeichen.

Wenn Cureit beendet ist, Poste den Report!
-> Report zu finden unter %userprofile%\doctorweb\cureit.log

mattis 12.12.2007 19:13
Scheint mit CureIt leider auch nichts gebracht zu haben.
Ich bekomme immer noch den von Symantec AntiVirus.
Unter C:\WINDOWS\system32\ finde ich auch noch die dll (urqqrol.dll) die sich auch jetzt nicht löschen lässt.

Hab Ihr noch weitere Ideen?

11Boy11 12.12.2007 19:25
Hi,

poste doch nochmal einen aktuellen HijackThis Log.

mattis 12.12.2007 19:37
Logfile of HijackThis v1.99.1
Scan saved at 19:35:35, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\acs.exe
C:\maint\sid\disth\disth.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.exe
C:\WINDOWS\system32\PMService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.exe
C:\Program Files\Börse 2007\bin\watchdog.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\CSCRIPT.EXE
C:\WINDOWS\system32\cscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DoScan.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Level One\Firmware\WLANPRO.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\HiJackThis\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ao-z.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ACSrun] "%SystemRoot%\system32\usrlogon.bat"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [EPA_EZ_GPO_Tool] C:\WINDOWS\system32\EZ_GPO_Tool.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: AS Client-Manager.lnk = C:\VUS2001\System\ZACLIENT.EXE
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Program Files\Level One\Firmware\WLANPRO.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft\Office_XP_XL\Office10\OSA.EXE
O4 - Global Startup: Reg.lnk = ?
O4 - Global Startup: Siegfried Weckmann Hardcopy 14.5 XL.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O15 - Trusted Zone: *.ao-dh.de
O15 - Trusted Zone: *.ao-z.de
O15 - Trusted Zone: *.aodh.de
O15 - Trusted Zone: *.aoz.de
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de
O15 - Trusted Zone: *.bvk.de
O15 - Trusted Zone: *.dws-direkt.deutsche-bank.de
O15 - Trusted Zone: *.deutsche-versicherungsboerse.de
O15 - Trusted Zone: *.dkv.com
O15 - Trusted Zone: *.dkv.de
O15 - Trusted Zone: *.info.dws.com
O15 - Trusted Zone: *.info.dws.de
O15 - Trusted Zone: *.dws.de
O15 - Trusted Zone: *.dwsgo.de
O15 - Trusted Zone: *.gdvonline.de
O15 - Trusted Zone: *.gmx.net
O15 - Trusted Zone: *.heeseshop.de
O15 - Trusted Zone: *.herold-vertrieb.de
O15 - Trusted Zone: *.herold.de
O15 - Trusted Zone: *.banking.ing-diba.de
O15 - Trusted Zone: *.IVZDH.de
O15 - Trusted Zone: *.maklerweb.de
O15 - Trusted Zone: *.orgam.de
O15 - Trusted Zone: *.vantage-kicks-ass.de
O15 - Trusted Zone: *.vantage-kicks-ass.net
O15 - Trusted Zone: *.vantagefunclub.ru
O15 - Trusted Zone: *.volkswagenbank.de
O15 - Trusted Zone: *.vtr1000.de
O15 - Trusted Zone: *.werder.de
O15 - Trusted Zone: *.zuerich.com
O15 - Trusted Zone: *.zuerich.de
O15 - Trusted Zone: *.zurich.com
O15 - Trusted Zone: *.zurich.de
O15 - Trusted Zone: *.ao-dh.de (HKLM)
O15 - Trusted Zone: *.ao-z.de (HKLM)
O15 - Trusted Zone: *.aodh.de (HKLM)
O15 - Trusted Zone: *.aoz.de (HKLM)
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de (HKLM)
O15 - Trusted Zone: *.dkv.com (HKLM)
O15 - Trusted Zone: *.dkv.de (HKLM)
O15 - Trusted Zone: *.gdvonline.de (HKLM)
O15 - Trusted Zone: *.herold-vertrieb.de (HKLM)
O15 - Trusted Zone: *.herold.de (HKLM)
O15 - Trusted Zone: *.maklerweb.de (HKLM)
O15 - Trusted Zone: *.orgam.de (HKLM)
O15 - Trusted Zone: *.zuerich.com (HKLM)
O15 - Trusted Zone: *.zuerich.de (HKLM)
O15 - Trusted Zone: *.zurich.com (HKLM)
O15 - Trusted Zone: *.zurich.de (HKLM)
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BDA7D2-1C8E-4B12-BEB7-9791C0689685}: Domain = oop.zfs
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = oop.zfs
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: BBDistHandler - Unknown owner - %SystemDrive%\maint\sid\disth\disth.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINDOWS\system32\DWRCS.exe (file missing)
O23 - Service: Energy Star(TM) EZ GPO Power Management Configuration Tool (EPA_GPO_PMService) - TerraNovum - C:\WINDOWS\system32\PMService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.exe
O23 - Service: WisoBoerseWatchDog - market maker Software AG - C:\Program Files\Börse 2007\bin\watchdog.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

11Boy11 12.12.2007 19:43
Abend,

öffne das HijackThis klicke den Button "scan", und mache vor diese Einträge ein häckchen:

Zitat:
O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINDOWS\system32\DWRCS.exe (file missing)

O23 - Service: BBDistHandler - Unknown owner - %SystemDrive%\maint\sid\disth\disth.exe (file missing)

Dann Button "Fix checked" klicken, anschließend PC neustarten

BataAlexander 12.12.2007 23:05
Zitat:
Zitat von mattis (Beitrag 309574)
PS: Ich schließe alle Haftungsansprüche hiermit aus!
Jetzt kommt wieder die Frage nach dem Huhn und dem Ei.
Wir wissen nicht, wer DU bist, ob DU berechtigt bist an diesem System Änderung vorzunehmen...
Derart genutze System gehören in die Fachhände eines lokalen Computerfachmannes!
Dem Admin kann man auf jeden Fall schon mal eine mangelhafte Konfiguration vorwerfen.

Für Den Spybot hast Du auch eine Lizenz nehme ich an?
Zitat:
II.e. Gebrauch durch Unternehmen
Da Unternehmen keine Privatpersonen sind und somit Probleme haben, die obigen Bedingungen zu erfüllen, gibt es auf safer-networking.ie eine Lizenz für die Nutzung in Unternehmen.
my2Cent

Shadow 13.12.2007 09:14
private Meinung eines Admins mit Schatten
 
Dies ist jetzt eine private Meinung:
Einige helfen hier oder anderswo Nutzern die eindeutig oder aller höchst-wahrscheinlich bewusst illegale Software einsetzen. Und haben kein Problem damit solchen Kleinkriminellen zu helfen (Keine Diskussion, es ist illegal).
Teilweise laufen diese Tipps - zumindest für den der sich auskennt - auch in Richtung Unterstützung die illegale Software einsetzen bzw. weiterhin einsetzen zu können.

Aber wenn jemand sagt, er nutze den PC gewerblich bzw. sei sogar der Administrator werden auch harmlose Hilfestellungen verweigert.
Keine Frage, ich sage niemanden wie er die Herrschaft über einen PC erhalten kann, zumindest nicht offen und keinem dem ich nicht traue (d.h. alten Bekannten hier würde ich per PN schon mitteilen wie sie dies am PC machen können, allerdings wissen die es wohl sowieso).
Der Gerechtigkeit halber müsste und sollte man immer auf das Restrisiko hinweisen und jedwede Haftung ausschließen. Wäre übrigens auch fair gegenüber den (vorgeblich) privaten Hilfesuchenden. Denn es kann immer was schiefgehen, es kann ein Tipp auch mal falsch sein.

Dies ist meine private Meinung, dies spiegelt nicht die Meinung der Foren-Administration wieder (die habe ich auch grad nicht im Kopf, bedeutet also auch nicht, dass ich ihr widerspreche :lach: ), dies ist keine Moderatoren-Äußerung!

@ Bata: man ist hier nie sicher, ob der andere zu Änderungen berechtigt ist.
Das Programm auf welches du wohl anspielst sucht Spybots und versucht die gefundenen zu zerstören. Spybots gab es vor Spybot S&D. ;)
Spybot S&D IST Freeware. Die Lizenzbedingungen in(!) Spybot S&D stellen da keinerlei Bedingungen.
Die Lizenzbedingungen auf der Website legen nur nahe ("es gibt eine ..."), dass Unternehmen sich die Corporate-Edition kaufen sollen, weil sie Schwierigkeiten hätten, die restlichen Lizenzbedingungen zu erfüllen.
Es ist nur fair wenn ein Unternehmen Spybot S&D regelmäßig einsetzt, hier auch entweder zu spenden (wäre von jedem regelmäßigen Nutzer fair) oder die kostenpflichtige Corporate-Edition bzw Small Business Edition zu nutzen.
(ich meine aber früher waren die Nutzungsbedingungen tatsächlich etwas restriktiver und ob ein Nutzer tatsächlich erst weitersurfen muss um die Einschränkung zu lesen, die es in der Nutzungsbedingung/Lizenz nicht gibt ...)


Wenn ich ich mal einen Rat bräuchte, würde mir nicht geholfen werden?

PS: Es bleibt jedem immer selbst überlassen ob er/sie mal eine Hilfestellung nicht geben will. Ich würde auch einem Kollegen nicht helfen, wenn ich sehe (hineininterpretiere), dass ich nur die Arbeit für ihn machen soll und er dann (vermutlich) den "Ruhm" und die Kohle einsackt. (so altruistisch bin ich dann doch nicht).

BataAlexander 13.12.2007 18:01
OT: private Meinung eines Admins mit Schatten
 
Zitat:
Zitat von Shadow (Beitrag 309691)
Wenn ich ich mal einen Rat bräuchte, würde mir nicht geholfen werden?
Interessanter Ansatz und ja, ein schwieriges Thema.
Die Boardleitungsmeinung dazu kenne ich auch nicht(gibts da einen Thread zu?) und ich hoffe mich auch derart ausgedrückt zu haben, dass ich nur für mich spreche.

Bata

mattis 13.12.2007 19:00
Leider ist gibt es immer, und in allen Foren Klugsch..... wie BertaAlexander! :snyper:
Vielleicht sollte er seine Zeit sinnvoller einsetzen, als darin Leute zu schikanieren!:pfui:
Denn ich glaube nicht, dass das der Sinn dieses Forums ist.

@Shadow
Ich brauche mich zwar nicht zu rechtfertigen, aber mache dir selbst deinen Gedanken.
BertaAlexander fragte:"mattis ist dies ein beruflich genutztes System?"

Ich antwortete mit ja, da ich neben diesem betroffenen Notebook, welches überwiegend privat genutzt wird, mich auch schon mal mit meinen kleinen Firmennetzwerk (bestehend aus einen weiteren Notebook und einem kleinem Server) verbinde. Ich betreibe auf selbständiger Basis ein kleines Büro und die Hard- und Software wurde von mir eigens + legal erworben.

Das ich Spybot S&D einsetze liegt nur daran diesen hartnäckigen Schädling zu entfernen.
Spybot S&D nutze ich grundsätzlich nicht, da es im Netzwerk, wie bekannt ist, nicht sinnvoll ist.

Also ich Frage mich wirklich was diese MOB-Attake von diesem Berta... soll.
Ist das gepflegter Umgang.
Der soll sich doch sonst wo abreagieren und nicht anderen auf die Nerven gehen. Schade ist, daß Leute wie der sich sehr gerne aufspielen, aber leider oft nichts sinnvolles beitragen können.
Und damit soll es genug sein, da es keinen weiteren Wert hat.

PS: Leider kam bislang kein messbarer Erfolg zur Entfernung des URQQROL.DLL Problem zustanden. Ich schätze das wird wohl auch nichts hier?!

raman 13.12.2007 20:06
Na, so abwegig ist Batas Einwand nicht, man kennt sein gegenueber ja nicht, wenn durch hier gegebene Tipps/Hilfe oder deiner Umsetzung dein System geschrottet wird und du in der Firma nicht die Berechtigung haettest aenderungen am System vorzunehmen, haette das womoeglich arbeitsrechtliche Konsequenzen zu folge, darum ist bei Firmenpcs immer vorsicht walten zu lassen.

Zu:
Zitat:
PS: Leider kam bislang kein messbarer Erfolg zur Entfernung des URQQROL.DLL Problem zustanden. Ich schätze das wird wohl auch nichts hier?!
Du solltest schon, wenn du Hilfe moechtest die Tipps und Anweisungen 100% umsetzen. Schaue 2. Posting im Thread:
Zitat:
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)

irrlicht 13.12.2007 20:17
Hallo,
schon sein Post als Antwort auf "Undoreals" Hilfe zeugt von einem ausgeprägen "ich-kann-oder-will-nicht-folgen-und-glaube-die-besten-Ideen-doch-selbst-zu-haben".......

Möglicherweise wäre der ganze Terz schon erledigt wenn bei Spybot S&D der Teatimer abgeschaltet wäre...:teufel3:
Irrlicht

undoreal 13.12.2007 21:14
Zitat:
Leider ist gibt es immer, und in allen Foren Klugsch..... wie BertaAlexander!
wenn's einen smilie mit 'ner atombombe geben würde dann würdest du den jetzt von mir zu sehen bekommen!

Shadow 14.12.2007 09:03
Zitat:
Zitat von mattis (Beitrag 309795)
Leider ist gibt es immer, und in allen Foren Klugsch..... wie BertaAlexander!
"Danke" für dein sachliches Niveau. Genau dort hört es auf Spaß zu machen, nicht wenn jemand sich Gedanken macht und Vorbehalte äußert.

Zitat:
Zitat von raman (Beitrag 309823)
Na, so abwegig ist Batas Einwand nicht, man kennt sein gegenueber ja nicht, wenn durch hier gegebene Tipps/Hilfe oder deiner Umsetzung dein System geschrottet wird und du in der Firma nicht die Berechtigung haettest aenderungen am System vorzunehmen, haette das womoeglich arbeitsrechtliche Konsequenzen zu folge, darum ist bei Firmenpcs immer vorsicht walten zu lassen.
Und? Geht dies uns was an?
Solange wie angedeutet niemand Tipps gibt, wie man den Administrator aushebelt, kann bei vernünftig eingerichtetem System nur bedingt (ich gebe zu also manchmal doch) ein Nicht-Administrator (deutliches) Unheil anrichten. Es wäre reine Freundlichkeit einen Nutzer auch darauf hinzuweisen, dass er dies nur tun darf wenn er dazu berechtigt ist. (Man sollte so freundlich aber sein, viele sind da durch Dummfug aus BLÖD, Chip & Co. desensibilisiert).
Es gibt hierbei keinen Unterschied zwischen Firmen-PC und Privat-PC, außer dass bei einem Unternehmens-PC auch der Administrator (also im Zweifel auch ich) ein großes Problem bekäme, wenn ein Nutzer hier sicherheitsrelevante Löcher reißt.

Aber weitergehendes führt HIER in diesem Thread und in diesem Unterforum zu weit.

Trotzdem schwelge ich in den guten alten Zeiten in denen natürlich alles besser war, in denen sicherlich 50% aller Nutzer in Usenetfachforen auch Fachleute waren und jeder hat jedem geholfen - außer es gab persönliche Abneigungen. Damals war auch die Anzahl der Beiträge nicht Ferienabhängig oder wetterfühlig. ;)

@ undoreal: bitte keinen Overkill :lach:
Atombomben sind etwas wenig selektiv.

undoreal 14.12.2007 10:10
Zitat:
bitte keinen Overkill
Atombomben sind etwas wenig selektiv.
O.k. Chef :heilig:

Aber was aufregenderes als der Sniper könnt's schon sein..

http://www.smilies.4-user.de/include...ilie_b_093.gif

raman 14.12.2007 11:01
Zitat:
Zitat von Shadow (Beitrag 309889)
Es wäre reine Freundlichkeit einen Nutzer auch darauf hinzuweisen, dass er dies nur tun darf wenn er dazu berechtigt ist.
So habe ich das von Batas Seite gesehen, wenn auch mit seinem, ihm eigenen Charme. ;)


..und damit solls fuer mich gut sein...

Presshead 14.12.2007 13:18
@Mattis

Als Symantec User der Du offenbar bist, versuche doch mal das offizielle Symantec Removal Tool für Vundo. Bin nicht sicher, aber ich meine es sieht anders aus, als das, welches Dir bisher angeboten wurde:

infos hier:
http://www.symantec.com/security_response/writeup.jsp?docid=2004-112210-3747-99

tool hier:
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe

Drücke Dir die Daumen, das Du hiermit fündig wirst.

Ciao

11Boy11 14.12.2007 14:20
Presshead, ich denke das Thema hat sich erledigt. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131