Trojaner-Board - Trojaner leitet Internet in die Ukraine um

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner leitet Internet in die Ukraine um (https://www.trojaner-board.de/22436-trojaner-leitet-internet-ukraine-um.html)

Trojaner leitet Internet in die Ukraine um

Hallo zusammen,

habe mir einen (oder mehrere) Trojaner eingefangen, die meine Internetverbindung auf einen zwielichtigen Server in der Ukraine umleiten bzw . umleiten wollen.

Obwohl die Trojaner TR/Small.fb.2 sowie TR/Dldr.Agent.UJ von Antivir bzw. BitDefender erkannt und (angeblich) gelöscht wurden, taucht bei jeder neu aufgebauten Internetverbindung folgendes bei einem Scan mit HijackThis auf, was dort offenbar nicht hingehört:

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

Die IP's gehören zu dem besagten ukrainischen Server.

Meine Fragen:
1. Wie groß ist das Risiko, dass trotz ZoneAlarm und DSL sämtliche meiner Passwörter munter in der Ukraine gelesen werden?
2. Bringt es was, wenn ich die besagte Datei in der Registry einfach lösche? (oder wo steckt der eigentliche Übeltäter?)

Vielen Dank für jeden Tipp!
Ändru

Hallo,
poste mal bitte das gesammte HijackThis Logfile(1.99.1), dann kann man ev. mehr sagen.

Grüße Wildone

Hi, danke für die schnelle Antwort.

So sieht das komplette LogFile aus:

Scan saved at 18:27:28, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

Gruß
Ändru

Hallo,
scheint bis jetzt alles sauber (bis auf den O17er), aber du scheinst den unteren Teil vergessen zu haben (O23 Einträge...), reiche den mal noch nach.

Grüße Jasager

Hi, das irritiert mich ja etwas. Unter 017 kommt nämlich tatsächlich nix mehr.

Gruß
Ändru

Dann setzt du eine uralte HJT Version ein - aktuell ist 1.99.1.

Ertappt! So sieht das Ganze mit der aktuellen Version aus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)

O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)

O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Das Log-File ist weiterhin unvollständig und somit ist keine sinnvolle Auswertung möglich.

btw:

Zitat:

Zitat von myself

[3] Navigiere zum Ordner C:\Programme\HiJackThis -> Doppelklick auf hijackthis1.log -> Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (in deinen erstellten Thread einfügen).
Quelle: http://www.trojaner-board.de/showthread.php?t=17493

Ok, nächster Versuch:

Logfile of HijackThis v1.99.1
Scan saved at 19:57:17, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo,
sieht in Ordnung aus, auch wenn ich mir bei den Netmeeting/Remote-Registrierung/Telnet Einträgen nicht 100% sicher bin, hattest du das mal installiert?
Habe ich das eigentlich bei deinem ersten Posting richtig verstanden, dass der Eintrag nach den fixen mit HijackThis wieder auftaucht?
Wenn ja, solltest du mal mit Escan(Anleitung genau beachten!) dein System scannen.

Grüße Wildone

Hi, Netmeeting und Remote sagt mir ehrlich gesagt nichts. Aber ich versuche es mal mit escan.

Danke erstmal!
Ändru

Hi, das kommt mit escan raus:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 20:36:41 2005 => System found infected with zipitpro Spyware/Adware (unace.dll)! Action taken: No Action Taken.
Tue Oct 04 20:36:42 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Tue Oct 04 20:36:43 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Tue Oct 04 20:37:04 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Tue Oct 04 21:02:15 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Oct 04 21:13:35 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.*
Tue Oct 04 21:51:40 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 20:36:41 2005 => Offending file found: C:\WINDOWS\system32\unace.dll
Tue Oct 04 20:36:42 2005 => Offending file found: C:\DOKUME~1\Andreas\LOKALE~1\Temp\insthelp.dll
Tue Oct 04 20:36:43 2005 => Offending file found: C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\microsoft\office\zuletzt verwendet\internet.lnk
Tue Oct 04 20:37:02 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\jobs\fsw
Tue Oct 04 20:37:04 2005 => Offending file found: C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\temp\insthelp.dll
Tue Oct 04 20:37:07 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\jobs\fsw
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 04 21:51:40 2005 => Total Virus(es) Found: 6
Tue Oct 04 21:51:40 2005 => Total Errors: 85
Tue Oct 04 21:51:40 2005 => Time Elapsed: 01:15:57
Tue Oct 04 21:51:40 2005 => Total Objects Scanned: 72852
Tue Oct 04 20:18:05 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 20:19:20 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 20:34:42 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 21:51:40 2005 => Virus Database Date: 2005/10/04
Tue Oct 04 21:54:41 2005 => Virus Database Date: 2005/10/04

PS: Der verdächtige Eintrag im Hijackthis-Log taucht immer erst wieder auf, wenn ich eine Internetverbindung aufbaue.

Ratlose Grüße
Ändru

Hallo,
dann schauen wir doch mal wie es nach dem löschen der beanstandeten Dateien aussieht. Also folgendes im abgesicherten Modus (F8 beim booten) löschen (Dateien suchen) :
C:\WINDOWS\system32\unace.dll
C:\DOKUME~1\Andreas\LOKALE~1\Temp\insthelp.dll
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\microsoft\of fice\zuletzt verwendet\internet.lnk
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\jobs\fsw
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\temp\insthelp.dll
dann den O17 Eintrag mit HijackThis fixen (Haken davor und auf "fix checked").

Grüße Wildone

Hi wildone,

die laut escan befallenen Dateien konnte ich zwar löschen, der 017-Eintrag im hjt-Log taucht aber nach wie vor auf. Folgende Einträge lassen sich gar nicht fixen (bzw. sind sofort wieder da):

O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)

Steckt das das Übel??

Danke für die Hilfe!

Ändru

Hallo,
das sich die O23 Einträge nicht löschen lassen ist soweit normal, dafür musst du bei Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen drei O23 Einträgen!
Befürchte aber fast das es daran auch nicht liegt das der O17 Eintrag wieder kommt, bin da gerade etwas ratlos.

P.S. Hast du den O17 Eintrag im abgesicherten Modus gefixt (wenn nein, dann versuche das mal)
Grüße Wildone

Habe ein bisschen bei Google recherchiert. Die drei besagten Dienste sind normalerweise offiziell von Microsoft. Da man die gelöschten 023-Services bei hijackthis nicht wieder herstellen kann, lasse ich da lieber erstmal die Finger von.

Gibt es außer Formatieren noch eine andere Lösung?

Danke + gute Nacht!
Ändru

Hallo,
da die betreffenden Dateien sowieso nicht mehr vorhanden sind, kannst du die O23 Einträge ruhig löschen, das sind so der so nur noch "Leichen" von einer Deinstallation.
Zu einer Neuinstallation sehe ich noch keinen Grund, vielleicht haben ja andere User noch eine Idee. Du könntest mal noch einen Onlinescan bei Panda machen und berichten was der so meint.

Grüße Wildone

Hi wildone,

danke für den Panda-Tipp. So sieht das Scan-Ergebnis aus:

Adware:adware/cws Nicht desinfiziert C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\AdultGambling.url Adware:adware/block-checker Nicht desinfiziert Windows-Registry

Den ersten habe ich im abgesicherten Zustand bereits gelöscht.

Was die 023-Einträge im hjt-log angeht: Wieso sind das nur "Leichen"? Da wurde doch eigentlich nichts dran gemacht. Löschen will ich die nicht, da offenbar systemrelevant.

Gruß
Ändru

Hallo,
also noch mal kurz zu den O23 Einträgen, die Prozesse die diese aufrufen sollen sind ja schon nicht mehr vorhanden, siehe das "file missing" in Klammern hinter den Beiträgen. aber du kannst die auch lassen, ich glaube sowieso nicht das von dort das Problem ausgeht.
Schau mal noch ob CWShredder etwas bei dir findet, und berichte.

Grüße Wildone

Hi,

CWShredder hat leider nichts entdeckt.

Keine Ahnung, ob das irgendwas mit dem Problem zu tun hat (oder ob ich schon die Flöhe husten höre): Unter C:\ taucht neben den ganzen Ordnern eine einzige, nicht versteckte Datei auf: inst.exe. Bin mir nicht sicher, ob die da schon immer war. Vielleicht gehört sie ja auch dahin. Auf jeden Fall lässt sie sich nicht löschen, da sie "von einer anderen Person bzw. Programm verwendet wird".

Immer noch in Kontakt mir der Ukraine
Ändru

Die inst.exe gefällt mir nicht:
http://www.sophos.de/virusinfo/analyses/trojdelfha.html
bzw. eher der
http://www.sophos.de/virusinfo/analy...2delodera.html

Versuche die Datei mal im abgesicherten Modus zu löschen bzw. benutze Killbox.

Hallo,
also so einfach löschen würde ich die Datei nicht, ich denke nämlich nicht das sie zwingend böse ist, kann auch ein CD-Rom Treiber o.ä. sein. Da in den Virenbeschreibungen nicht von dem Pfad C:\ geredet wird, und auch keine der Autostarteinträge vorhanden ist wäre ich erstmal vorsichtig. Versuche mal die Datei im abgesicherten Modus in einen anderen Ordner zu kopieren und überprüfe sie dann hier

[EDIT]
Denke jetzt doch das es Malware ist, glaube aber eher an den hier, bin mir aber nicht sicher.
[/EDIT]

Grüße Wildone

Da war ich wohl zu schnell. Die Killbox hat bereits ihren Dienst getan. Genützt hat es allerdings auch nichts. Wie komme ich an das backup bzw. wie kann ich die Datei wieder herstellen, falls sie doch wichtig ist?

Gruß
Ändru

PS: Zu meiner ursprünglichen Frage: Wenn ich die fragliche 017-Datei in der Registry lösche oder verändere, bringt das irgendwas? Ganz laienhaft gedacht: Wenn ich z. B. dort einfach die IP des Ukrainers durch die IP meines Providers ersetze? Oder ist das totaler Humbug?

Zur Erinnerung:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19

das ist wahrscheinlich ein Ableger vom Wareout, bin mir aber nicht sicher.

ich brauche viele Daten, um es sehen zu koennen.

FindT
http://bilder.informationsarchiv.net...ools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

Winpfind
http://virus-protect.net/winpfind.html

Datfinbad - abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad)
http://virus-protect.net/datfindbat.html

Silentrunners
http://virus-protect.net/silentrunner.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor -- und poste alles, was angezeigt wird.

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

Zitat:

Nach Angaben von www.Ripe.net/whois sind die beiden IPs einem Hosting in Charkow,

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
country: UA

Hi Sabina,

da ist ein ziemlich üppiges Datenpaket zusammengekommen (bei datFind.bat habe ich wie empfohlen nur die aktuelleren Einträge kopiert).

Da ich in den Anhang nur 19,5 kb packen darf, gibt es einen Teil hier, den anderen als txt-Datei.

Schon mal vielen Dank für Deine Hilfe!!
Ändru

PS: Soll ich den Host Script weider aktivieren oder spielt das keine Rolle?

FindT

C:\WINDOWS\BALLOON.WAV

datFind.bat

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126

Verzeichnis von C:\WINDOWS\system32

05.10.2005 11:00 0 asfiles.txt
05.10.2005 10:54 2.550 Uninstall.ico
05.10.2005 10:54 1.406 Help.ico
05.10.2005 10:54 1.718 Open.ico
05.10.2005 10:54 1.406 AddQuit.ico
05.10.2005 10:54 5.350 IE.ico
05.10.2005 10:54 9.470 Desktop.ico
05.10.2005 10:54 1.718 Quick.ico
05.10.2005 00:06 32.768 mnmsrvc.exe
04.10.2005 11:10 2.262 wpa.dbl
30.09.2005 17:08 2.855 edit.PIF
29.09.2005 15:10 2.953 CONFIG.NT
29.07.2005 21:07 73.728 asuninst.exe

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126

Verzeichnis von C:\DOKUME~1\Andreas\LOKALE~1\Temp

05.10.2005 15:59 512 ~DF7850.tmp
05.10.2005 15:59 47.484 ~WRS3310.tmp
05.10.2005 15:31 512 ~DF6E96.tmp
05.10.2005 15:30 256 ZLT03b7a.TMP
04.10.2005 20:11 16 parcce.dat
01.10.2005 11:21 1.274.557 GRD$LOGFILE.LOG
29.09.2005 15:17 217.829 avg7inst.log
29.09.2005 15:06 512 ~DF7481.tmp
28.09.2005 11:47 1.457 TWAIN.LOG
28.09.2005 11:47 4 Twain001.Mtx
27.09.2005 17:58 102 8A56EAB7.TMP
21.09.2005 11:14 45.096 _VWUPSRV.EXE
06.09.2005 17:50 5.541 EXF148.tmp
06.09.2005 17:40 5.575 EXF13D.tmp
06.09.2005 17:24 6.583 EXF128.tmp
06.09.2005 17:18 6.696 EXF11D.tmp
06.09.2005 15:25 10.932 EXFFA.tmp
06.09.2005 14:46 156 Twunk001.MTX
06.09.2005 14:45 589.824 ~PST1215.tmp
06.09.2005 14:45 589.824 ~PST1201.tmp
06.09.2005 14:45 8.142 EXFD6.tmp
06.09.2005 14:44 6.014 EXF85.tmp
21.08.2005 15:06 798.234 IMT17.xml
21.08.2005 15:06 426 IMT16.xml
21.08.2005 15:06 2.036 IMT15.xml
06.08.2005 13:38 19.527 219_huk24_120X600_klippe.gif
01.08.2005 18:29 40 garmana.ram

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126

Verzeichnis von C:\WINDOWS

05.10.2005 15:30 0 0.log
05.10.2005 15:30 157 wiadebug.log
05.10.2005 15:30 50 wiaservc.log
05.10.2005 15:29 51 iTouch.ini
05.10.2005 15:29 2.048 bootstat.dat
05.10.2005 15:28 412.054 WindowsUpdate.log
05.10.2005 14:49 435 system.ini
05.10.2005 10:57 746 win.ini
05.10.2005 10:55 291.742 setupapi.log
30.09.2005 10:01 3.303 tm.ini
29.09.2005 15:16 632.374 ntbtlog.txt
29.09.2005 14:38 502 ODBC.INI
25.09.2005 18:24 6.400 balloon.wav
22.09.2005 18:18 90.143 wmsetup.log
23.07.2005 20:53 9.264 ocmsn.log

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: A0DB-9126

Verzeichnis von C:\

05.10.2005 16:12 0 sys.txt
05.10.2005 16:11 8.422 system.txt
05.10.2005 16:08 188.665 systemtemp.txt
05.10.2005 16:04 98.692 system32.txt
05.10.2005 15:29 402.653.184 pagefile.sys
05.10.2005 14:22 17.342 hpfr6500.log
04.10.2005 23:38 194 boot.ini
04.10.2005 22:34 2.586 eScan_neu.txt
04.10.2005 21:51 0 23990098.$$$
04.10.2005 21:51 6 AVPCallback.log
04.10.2005 20:09 8.964.608 mwav.exe

Silentrunner

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/

Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

--------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"EM_EXEC" = "C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]

"Omnipage" = "C:\Programme\ScanSoft\OmniPageSE\opware32.exe" ["ScanSoft, Inc"]

"Zone Labs Client" = "C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe" ["Zone Labs Inc."]

"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc. "]

"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

"dmzok.exe" = "C:\WINDOWS\system32\dmzok.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v7"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

INFECTION WARNING! "System" = "csdlr.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]

BitDefender Antivirus v7\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]

PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["eFront Media, Inc."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

f-secure-Beta Trial

10/05/05 16:30:44 [Info]: BlackLight Engine 1.0.23 initialized
10/05/05 16:30:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/05/05 16:30:44 [Note]: 4019 4
10/05/05 16:30:44 [Note]: 4005 0
10/05/05 16:31:05 [Note]: 4006 0
10/05/05 16:31:05 [Note]: 4011 1484
10/05/05 16:31:05 [Note]: FSRAW library version 1.7.1011
10/05/05 16:31:41 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
10/05/05 16:31:41 [Note]: 10002 1
10/05/05 16:31:48 [Info]: Hidden file: C:\WINDOWS\system32\csdlr.exe
10/05/05 16:31:48 [Note]: 4002 32
10/05/05 16:31:48 [Note]: 4003 1
10/05/05 16:31:48 [Note]: 10002 1

CCleaner
http://www.ccleaner.com/ccdownload.asp
(man bei CCleaner als Administrator angemeldet sein)
lösche alle temp-Dateien

http://virus-protect.net/artikel/bilder/ccleaner10.gif

oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern (dann erscheint eine war.reg auf dem Desktop)

http://virus-protect.net/reg/war.reg

KILLBOX

http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINDOWS\system32\csdlr.exe
C:\WINDOWS\BALLOON.WAV
C:\WINDOWS\system32\dmzok.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "war.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

dann scanne noch mal mit silentrunner
fixe vorher den 017-Eintrag im HijackThis und starte den PC neu, stelle eine neue Verbindung her.

und mache einen Onlinescan mit kaspersky
http://virus-protect.net/onlinescan.html

---------------------------------------

WinPFind

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...
qoologic 05.10.2005 15:52:10 202953 C:\Programme\WinPFind.zip

Checking %WinDir% folder...
UPX! 24.09.2004 15:59:18 25088 C:\WINDOWS\inst_tsp.exe
UPX! 31.10.2004 18:05:40 30720 C:\WINDOWS\killproc.exe
UPX! 18.09.1997 06:12:48 7680 C:\WINDOWS\sporder.exe
aspack 26.09.2002 20:23:34 115712 C:\WINDOWS\SSSUn.EXE

Checking %System% folder...
UPX! 09.07.2005 11:03:06 433152 C:\WINDOWS\SYSTEM32\aswBoot.exe
PEC2 31.08.2001 21:21:38 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 31.08.2001 21:24:28 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
05.10.2005 15:29:18 S 2048 C:\WINDOWS\bootstat.dat
05.10.2005 15:29:22 S 64 C:\WINDOWS\CSC\00000001
29.09.2005 15:19:46 S 64 C:\WINDOWS\CSC\00000002
29.09.2005 15:01:14 S 64 C:\WINDOWS\CSC\csc1.tmp
05.10.2005 15:30:58 H 1024 C:\WINDOWS\system32\config\default.LOG
05.10.2005 15:29:22 H 1024 C:\WINDOWS\system32\config\SAM.LOG
05.10.2005 15:32:14 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
05.10.2005 15:57:46 H 1024 C:\WINDOWS\system32\config\software.LOG
05.10.2005 15:54:50 H 1024 C:\WINDOWS\system32\config\system.LOG
29.09.2005 15:10:42 H 1024 C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Teleca Software Solutions AB 12.01.2004 13:05:52 344064 C:\WINDOWS\SYSTEM32\ecsepm.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems 22.02.2004 23:44:42 61555 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 31.08.2001 21:23:10 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 31.08.2001 21:23:32 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 31.08.2001 21:23:42 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
29.12.2002 01:14:38 81920 C:\WINDOWS\SYSTEM32\Startup.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 31.08.2001 21:24:18 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 03.08.2004 13:59:08 168216 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 31.08.2001 21:23:10 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 31.08.2001 21:23:32 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 31.08.2001 21:23:42 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 31.08.2001 21:24:18 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
02.04.2003 16:30:34 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
03.04.2003 11:09:02 1720 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
02.04.2003 17:18:10 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
02.04.2003 16:30:34 HS 84 C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
02.04.2003 17:18:10 HS 62 C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\desktop.ini
04.11.2004 18:33:10 28336 C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BitDefender Antivirus v7
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\PowerArchiver
{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e} = C:\Programme\PowerArchiver\PASHLEXT.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BitDefender Antivirus v7
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\PowerArchiver
{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e} = C:\Programme\PowerArchiver\PASHLEXT.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
EM_EXEC C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
Omnipage C:\Programme\ScanSoft\OmniPageSE\opware32.exe
Zone Labs Client C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
zBrowser Launcher C:\Programme\Logitech\iTouch\iTouch.exe
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 805

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html
•
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\SSSUn.EXE
C:\WINDOWS\inst_tsp.exe
C:\WINDOWS\killproc.exe
C:\WINDOWS\sporder.exe

C:\WINDOWS\CSC\00000001
C:\WINDOWS\CSC\00000002
C:\WINDOWS\CSC\csc1.tmp

Zitat:

05.10.2005 10:54 9.470 Desktop.ico
05.10.2005 10:54 1.718 Quick.ico
05.10.2005 00:06 32.768 mnmsrvc.exe
04.10.2005 11:10 2.262 wpa.dbl

Hi Sabina,

habe alles brav befolgt (war es bei CCleaner ok, dass ich nur Häkchen bei Internet Explorer + System -> temporäre Datein gesetzt habe?). Der 017-Eintrag ist leider immer noch da.

Das hat übrigens Kaspersky beim onlinescan entdeckt:

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Posteingang/27 Mar 2004 14:49 from o.bahr@macnews.de:Mail Delivery (failure .rtf Suspicious: Exploit.HTML.Iframe.FileDownload

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Suspicious: Exploit.HTML.Iframe.FileDownload

C:\Programme\Softwin\BitDefender Free Edition\Infected\hwiper.exe Infected: Trojan.Win32.Qhost.dv

C:\WINDOWS\system32\csszn.exe Infected: Trojan-Downloader.Win32.Agent.uj

Und sind die Ergebnisse von von virustotal / Jottis:

C:\WINDOWS\system32\mnmsrvc.exe

alle: no virus found

C:\WINDOWS\SSSUn.EXE

Fortinet: suspiscious

EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war…)

C:\WINDOWS\inst_tsp.exe

Fortinet: suspiscious

EVENTUELL INFIZIERT/MALWARE (s. o.)

C:\WINDOWS\killproc.exe

alle: no virus found

EVENTUELL INFIZIERT/MALWARE (s. o.)

C:\WINDOWS\sporder.exe

Fortinet: suspiscious

EVENTUELL INFIZIERT/MALWARE (s. o.)

C:\WINDOWS\CSC\00000001
alle: no virus found

C:\WINDOWS\CSC\00000002
alle: no virus found

C:\WINDOWS\CSC\csc1.tmp

alle: no virus found

Die Bösen wieder in die Killbox?

Danke für die professionelle Hilfe!
Ändru

KILLBOX

http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINDOWS\system32\csdlr.exe
C:\WINDOWS\BALLOON.WAV
C:\WINDOWS\system32\dmzok.exe
C:\WINDOWS\SSSUn.EXE
C:\WINDOWS\System32\dmhdk.exe
C:\WINDOWS\inst_tsp.exe
C:\WINDOWS\system32\hwiper.exe
C:\Programme\Softwin\BitDefender Free Edition\Infected\hwiper.exe
C:\WINDOWS\killproc.exe
C:\WINDOWS\sporder.exe
C:\WINDOWS\system32\csszn.exe

PC neustarten

ich traue der C:\WINDOWS\system32\mnmsrvc.exe nicht, da sie am 5.Oktober ploetzlich erscheint.....

Click Start > Ausfuehren> sigverif > OK
click OK and Start.
Der computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)

poste, was angezeigt wird (das heisst...was nicht authentifiziert wurde)

Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring kopierst

{C2349EC2-87A3-498B-B38C-D58638991E90}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung:bösartiges skript entdeckt

Fixe mit dem HijackThis:-->das ist alles nicht "koescher", aber darum kummere ich mich spaeter.

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 85.255.113.130 85.255.112.19
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: Telnet (TlntSvr) - Unknown owner - C (file missing)

neustarten

Hallo Sabina,

dass C:\WINDOWS\system32\mnmsrvc.exe plötzlich auftauchte, könnte evtl. daran liegen, dass ich mit dem XP Tuner PRO bestimmte ("unnötige") Dienste erst deaktiviert und dann wieder aktiviert habe. Angeblich sind die 023-Einträge offizielle Microsoft-Geschichten. Nachdem ich sie wieder deaktiviert habe, tauchen sie auch nicht mehr im hjt-Log auf. Was natürlich nichts an dem lästigen 017-Eintrag geändert hat.

And here are the results from...

Sigverif

[c:\windows\system]

airplus.bin 19.05.2002 Keine Nicht signiert Nicht zutreffend

airplus.bin 19.05.2002 Keine Nicht signiert Nicht zutreffend

airplus.sys 19.05.2002 1.2.2.22 Nicht signiert Nicht zutreffend

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{C2349EC2-87A3-498B-B38C-D58638991E90}" 07.10.2005 17:55:17

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters]

"{C2349EC2-87A3-498B-B38C-D58638991E90}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{C2349EC2-87A3-498B-B38C-D58638991E90}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C2349EC2-87A3-498B-B38C-D58638991E90}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Dhcp\Parameters]

"{C2349EC2-87A3-498B-B38C-D58638991E90}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Parameters\Interfaces\Tcpip_{C2349EC2-87A3-498B-B38C-D58638991E90}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{C2349EC2-87A3-498B-B38C-D58638991E90}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]

"{C2349EC2-87A3-498B-B38C-D58638991E90}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{C2349EC2-87A3-498B-B38C-D58638991E90}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C2349EC2-87A3-498B-B38C-D58638991E90}]

Danke + schönes Wochenende!
Ändru

ich kann dir keine reg-Datei erstellen, weil es in diesem Forum nicht geht. (kommt alles verzerrt)

also: folgendes:

loesche alle diese Eintraege, ich hoffe, dass sich die Eintraege dann bei Erstellen einer neuen Internetverbindung nicht wieder aktivieren, denn der Ursprung liegt wahrscheinlich woanders,

Aber wie versuchen es mal.
loesche also alles raus, was angezeigt wurde

{C2349EC2-87A3-498B-B38C-D58638991E90}

und starte den PC neu (vorher noch den 017 Eintrag loeschen)

dann erstelle eine neue Internetverbindung mit DEINEN DATEN

dann ueberpruefe noch mal mit dem regtool ob alles weg ist und berichte

Hallo Sabina,

statt die ganzen Einträge zu löschen, habe ich direkt eine neue Internetverbindung (mit den korrekren IP-Daten) erstellt. Die taucht jetzt auch im 017-Eintrag bei Hijackthis auf:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2349EC2-87A3-498B-B38C-D58638991E90}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Oder ist generell so ein 017-Eintrag verdächtig? Funktionieren tut's ja. Offenbar auch über den richtigen Server. Ist jetzt wieder alles prima??

Gruß
Ändru

[edit]
links entfernt
[/edit]

na fein ;) ich denke, dass nun alle Viren entfernt sind, auch die "versteckten"
deaktiviere noch die Systemwiederherstellungspunkte der letzten Wochen und dann duerfte alles wieder in Ordnung sein. :aplaus:

Hip hip hurraaa! Nochmals 1000 Dank für Deine Hilfe!
Ändru :daumenhoc