Trojaner-Board - Trojan.VBS.Wisis.b und mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.VBS.Wisis.b und mehr (https://www.trojaner-board.de/19521-trojan-vbs-wisis-b-mehr.html)

Trojan.VBS.Wisis.b und mehr

huhu, wieder mal ein sorgenkind... escan und HijackThis log sind angehängt. hoffentlich könnt ihr mir auch hier helfen...

escan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 10:37:42 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon Jul 04 10:37:44 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Jul 04 10:37:45 2005 => System found infected with Wind Updates Spyware/Adware (bridgex.installer)! Action taken: No Action Taken.
Mon Jul 04 10:37:49 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Mon Jul 04 10:38:37 2005 => File C:\$NtUninstallQ303030$\WINSYS.cer infected by "Trojan.VBS.Wisis.b" Virus! Action Taken: No Action Taken.
Mon Jul 04 11:01:16 2005 => File C:\Dokumente und Einstellungen\user2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D4T94ZRH\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus! Action Taken: No Action Taken.
Mon Jul 04 11:09:11 2005 => File C:\Dokumente und Einstellungen\user2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVMPMVGF\AD_rotator[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon Jul 04 11:31:00 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Jul 04 11:57:02 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 11:28:26 2005 => File C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\T-Online 5.0\Software\Fotoservice\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:28:29 2005 => File C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\T-Online 5.0\T-Online\Copas\CopasInst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:29:55 2005 => File C:\Dokumente und Einstellungen\Michi\Eigene Dateien\SurfinGuardPro57b310eval.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 11:29:55 2005 => File C:\Dokumente und Einstellungen\user3\Eigene Dateien\zlsSetup_51_033_000.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 11:30:20 2005 => File C:\program files\aaw6181.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:40:13 2005 => File C:\Programme\Lavasoft\Ad-aware 6\Unwise.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:41:40 2005 => File C:\Programme\T-Online\Copas\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 11:57:02 2005 => Total Virus(es) Found: 17
Mon Jul 04 11:57:02 2005 => Total Errors: 558
Mon Jul 04 11:57:03 2005 => Time Elapsed: 01:20:29
Mon Jul 04 11:57:02 2005 => Total Objects Scanned: 75770
Mon Jul 04 10:35:40 2005 => Virus Database Date: 2005/06/24
Mon Jul 04 11:57:03 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile of HijackThis v1.99.1
Scan saved at 10:05:12, on 04.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\user1\Eigene Dateien\antivir\ClearProg_1.4.2_Beta5\ClearProg.exe
C:\Dokumente und Einstellungen\user1\Eigene Dateien\antivir\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F3 - REG:win.ini: run=c:\windows\system32\dmtdll.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sys32] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [Sys32] C:\$NtUninstallQ303030$\WINSYS.vbs
O4 - HKCU\..\Run: [] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - O20 - AppInit_DLLs: FHook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hi,
Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe
also Links in deinem Post edditieren!!

Zitat:

huhu, wieder mal ein sorgenkind...

Du wirst auch immer ein Sogenkind bleiben, Grund:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) (WinNT 5.01.2600)

Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2
Lade ClearProg = =>Haken setzen bei alles löschen und auf ok.
--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

alle RO und R1 Einträge
F3 - REG:win.ini: run=c:\windows\system32\dmtdll.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sys32] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home
O4 - HKLM\..\RunOnce: [Sys32] C:\$NtUninstallQ303030$\WINSYS.vbs
O4 - HKCU\..\Run: [] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://h**p://public.windupdates.com...22384e480b9c0d
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://h**p://appldnld.m7z.net/qtins...lInstaller.exe

lösche von Hand folgende Dateien:

c:\windows\system32\dmtdll.exe
C:\$NtUninstallQ303030$\WINSYS.cer
internat.exe ----> falls vorhanden (Festplatte durchsuchen)
C:\WINDOWS\system32\ntnut.exe home
C:\$NtUninstallQ303030$\WINSYS.vbs

schau auch ob sich solche Dateien wie in den beiden Links beschrieben, auf deinem System befinden wenn ja dann auch löschen
http://www.sophos.de/virusinfo/analy...jcrypterc.html
http://www.sophos.de/virusinfo/analyses/vbswisisa.html

danach neu booten Systemwiederherstellung wieder aktivieren neue Startseite vergeben und neues HJT posten

Logfile of HijackThis v1.99.1
Scan saved at 16:22:14, on 04.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Annemarie\Eigene Dateien\antivir\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: FHook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

done. so weit es ging... einige dateien hab ich nicht gefunden (suche benutzt).

Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.
Das Logfile sieht jetzt schon mal besser aus, und schon SP2 drauf, sehr gut, in Zukunft auch immer up to date halten da jeden Monat neue Sicherheitslöscher bei Microsoft gestopft werden. In Zukunft solltest du mit sicheren Browser/Mailprogramm ins Netz gehen und IE nur noch für Windowsupdates verwenden
http://filepony.de/download-opera/
http://www.mozilla.org/
http://www.thunderbird-mail.de/thunderbird/
Du kannst jetzt nochmal mit eScan checken um zu sehen ob wir was vergessen haben. Lösche aber vorher die Logdatei im Ordner C:\Bases_X diese wird dann neu erstellt
boote in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und scanne nacheinander mit Spybot, Ad-aware lösche alle Funde danach noch eScan und davon das Ergebnis mitteilen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 17:35:38 2005 => System found infected with Wind Updates Spyware/Adware (bridgex.installer)! Action taken: No Action Taken.
Mon Jul 04 17:35:42 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Mon Jul 04 17:36:30 2005 => File C:\$NtUninstallQ303030$\WINSYS.cer infected by "Trojan.VBS.Wisis.b" Virus! Action Taken: No Action Taken.
Mon Jul 04 17:59:45 2005 => File C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D4T94ZRH\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus! Action Taken: No Action Taken.
Mon Jul 04 18:10:33 2005 => File C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVMPMVGF\AD_rotator[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon Jul 04 18:37:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Jul 04 19:16:17 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 18:36:08 2005 => File C:\Dokumente und Einstellungen\xxx\Eigene Dateien\SurfinGuardPro57b310eval.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 18:36:08 2005 => File C:\Dokumente und Einstellungen\xxx\Eigene Dateien\zlsSetup_51_033_000.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 18:36:47 2005 => File C:\program files\aaw6181.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 18:47:16 2005 => File C:\Programme\Lavasoft\Ad-aware 6\Unwise.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 18:49:11 2005 => File C:\Programme\T-Online\Copas\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 19:16:17 2005 => Total Virus(es) Found: 13
Mon Jul 04 19:16:17 2005 => Total Errors: 566
Mon Jul 04 19:16:17 2005 => Time Elapsed: 01:55:03
Mon Jul 04 19:16:17 2005 => Total Objects Scanned: 79164
Mon Jul 04 17:20:51 2005 => Virus Database Date: 2005/06/24
Mon Jul 04 19:16:17 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

ist wohl noch nicht ganz io :-/

boote wieder in den abgesicherten Modus bei deaktivierter Systemwiederherstellung un dlösche von Hand folgende Dateien:

C:\$NtUninstallQ303030$\WINSYS.cer

Datenträgerbereinigung:

Windowstaste+R --> cleanmgr --> <enter>
klick bei Temporary internet files
klick bei temp
klick bei Papierkorb
ok

boote neu aktiviere die Systemwiederherstellung und poste ein neues HJT

die besagte datei wurde nicht gefunden, scheint nicht vorhanden zu sein... habs auch über das dos eingabefenster probiert... rest hab ich gemacht.

Logfile of HijackThis v1.99.1
Scan saved at 22:06:01, on 04.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\antivir\hijackthis\HijackThis.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqfru07.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: FHook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@enca
hast du es so schon mal versucht?
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

chaosman

@enca
lasse diese datei FHook.dll
hier online überprüfen http://virusscan.jotti.org/de/
und poste das ergebnis

infos
http://www.sophos.de/virusinfo/analyses/vbswisisa.html

chaosman