Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Verdacht obwohl Anti-Vir Scan nichts ergeben hat (https://www.trojaner-board.de/27962-trojaner-verdacht-obwohl-anti-vir-scan-nichts-ergeben-hat.html)

Awexx 30.03.2006 11:47
Trojaner Verdacht obwohl Anti-Vir Scan nichts ergeben hat
 
Hi Leute, ich poste hier in der Hoffnung das es hier jemanden gibt der mir helfen kann. Ich hab seit 3 Tagen als Hintergrund "Bild" einen roten Screen mit der Warnung "Danger Spyware"

Full system scan results:

3 Spyware infections
27 Spyware tracks
95 Adult-oriented websites tracks
3 Programs with probable keylogging activity

Windows recommends you the following software products to keep your PC safe:
RazeSpyware RazeSpyware
for as low as $49.95
demo direct download for as low as $49.95
demo direct download

Ich hab deshalb Ad-Aware und meinen Viren-Scanner (AntiVir PE Classic) laufen lassen. Beide nichts konkretes gefunden. Trotzdem scheint mir dieses Hintergrundbild kein richtiges zu sein, da ich kein Kontextmenü öffnen kann.
Tja was kann ich tun um sicher zu gehn? Wäre schön wenn hier jemand nen Tip hat.

PS: Sorry wenn es schon ähnliche Threads zu dem Thema gibt...

MfG Awexx

stupormundi 30.03.2006 11:49
Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!
stupormundi

Awexx 30.03.2006 12:03
So denke mal das ist so richtig:

Logfile of HijackThis v1.99.1
Scan saved at 12:57:55, on 30.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\taskmgr.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://82.179.166.192/search.php?v=6&aff=925944
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://82.179.166.192/index.php?v=6&aff=925944
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] E:\Zockän\CounterStrike Source\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: WinMySQLadmin.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44D3559E-E934-4A27-8C46-1D13467CE0D0}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A7A9F7E-6601-48D9-89AC-16BDACD6F680}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{827D61B2-D612-4CD0-93A4-EBDF395CF2D7}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F74FE19-68E2-416B-A937-DEB7D7D43C08}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CS1\Services\Tcpip\..\{44D3559E-E934-4A27-8C46-1D13467CE0D0}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CS2\Services\Tcpip\..\{44D3559E-E934-4A27-8C46-1D13467CE0D0}: NameServer = 85.255.115.102,85.255.112.120
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: MySql - Unknown owner - (no file)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

stupormundi 30.03.2006 12:17
Servus!
Dein Verdacht ist nicht unrichtig: Hier sitzt ein dialer:
Zitat:
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
Dazu die Frage: Wie sieht es mit Deiner I.Net-Verbindung aus? DSL oder andere? Wenn nicht DSL, dieses Log für später vielleicht notwendig werdende Diskussionen wegen zu hoher Online-Gebühren rücksichern.
Lass außerdem mal den CWS Shredder mal im abgesicherten Modus laufen.
Ebenfalls im abgesicherten Modus lösche die Datei(en)
Zitat:
C:\WINDOWS\System32\tibs3.exe
C:\foo.mht!h**p://82.179.166.145/x15.chm::/trs15.exe
und fixe dann, wenn noch vorhanden, mit HJT diese Einträge
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://82.179.166.192/search.php?v=6&aff=925944
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://82.179.166.192/index.php?v=6&aff=925944
...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *new-search.net*;*x-google.net*
...
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
...
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.145/x15.chm::/trs15.exe
...
O17 - HKLM\System\CCS\Services\Tcpip\..\{44D3559E-E934-4A27-8C46-1D13467CE0D0}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A7A9F7E-6601-48D9-89AC-16BDACD6F680}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{827D61B2-D612-4CD0-93A4-EBDF395CF2D7}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F74FE19-68E2-416B-A937-DEB7D7D43C08}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CS1\Services\Tcpip\..\{44D3559E-E934-4A27-8C46-1D13467CE0D0}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CS2\Services\Tcpip\..\{44D3559E-E934-4A27-8C46-1D13467CE0D0}: NameServer = 85.255.115.102,85.255.112.120
Anschließend noch ein Virenscan mit escan: Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

Nachsatz: Wenn alles sauber ist - was abzuwarten ist - fehlt Dir dann noch das Servicepack 2 wird XP - nachholen!

stupormundi

Awexx 30.03.2006 13:57
So hab den CWS Shredder im abgesicherten Modus durchlaufen lassen. Der hat aber nix gefunden. Die zwei oben angegebenen Datei kann ich nicht finden:
C:\WINDOWS\System32\tibs3.exe
C:\foo.mht!h**p://82.179.166.145/x15.chm::/trs15.exe

Das einzige was funktioniert hat war das entfernen der Einträge mit HJT.

Bei eScan muss ich wohl die falsche Datei heruntergeladen haben, denn beim entfernen von etwas sollte ich das Ding kaufen. ausserdem hatte ich dummerweise ne dt. Version. Das muss ich wohl nochmal probieren.

stupormundi 30.03.2006 14:02
Die gratis-escan Version entfernt eben kein Objekte - Du solltest auch die Funde nur posten (siehe dazu die Anleitung - vor allem die Fußnoten ganz unten :zzwhip: )
Zum Suchen von vielleicht versteckten Dateien nutze den link in meiner Signatur!

stupormundi

Awexx 31.03.2006 07:48
So denke mal das hat funktioniert:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 30 15:34:18 2006 => System found infected with smitfraud variant Browser Hijacker (desktop.html)! Action taken: No Action Taken.
Thu Mar 30 15:34:23 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.
Thu Mar 30 15:34:23 2006 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.
Thu Mar 30 15:34:17 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Thu Mar 30 15:34:13 2006 => File C:\WINDOWS\desktop.html infected by "not-virus:Hoax.Win32.Aflac.a" Virus! Action Taken: No Action Taken.
Thu Mar 30 15:59:53 2006 => File C:\WINDOWS\desktop.html infected by "not-virus:Hoax.Win32.Aflac.a" Virus! Action Taken: No Action Taken.
Thu Mar 30 16:44:29 2006 => File D:\SystemClean\deleate.txt infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Thu Mar 30 16:44:29 2006 => File D:\SystemClean\HJT\backups\backup-20060330-140606-608 infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Thu Mar 30 16:44:30 2006 => File D:\SystemClean\HJT\hijackthis_save.log infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Mar 30 15:34:18 2006 => Offending file found: C:\WINDOWS\desktop.html
Thu Mar 30 15:34:23 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Thu Mar 30 15:34:23 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Mar 30 15:37:58 2006 => File C:\Program Files\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.603. No Action Taken.
Thu Mar 30 16:08:41 2006 => File C:\WINDOWS\system32\rzspy.exe tagged as "not-a-virus:AdWare.Win32.Raze.a". Action Taken: No Action Taken.
Thu Mar 30 16:35:01 2006 => File D:\Installations_CD\Tools\Internet\Getright\Getright 4.5.exe tagged as "not-a-virus:AdWare.Win32.Gator.1050". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Mar 30 15:34:17 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\trickler !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 30 17:12:16 2006 => Total Errors: 4
Thu Mar 30 17:12:16 2006 => Time Elapsed: 01:43:33
Thu Mar 30 17:12:16 2006 => Total Objects Scanned: 110629
Thu Mar 30 15:12:56 2006 => Virus Database Date: 3/28/2006
Thu Mar 30 15:18:39 2006 => Virus Database Date: 3/28/2006
Thu Mar 30 15:26:58 2006 => Virus Database Date: 3/28/2006
Thu Mar 30 17:12:16 2006 => Virus Database Date: 3/28/2006
Thu Mar 30 17:17:42 2006 => Virus Database Date: 3/28/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Tja und nu?

PS: Danke erstmal das du deine Zeit für meine Probleme opferst...

stupormundi 31.03.2006 08:02
Hm, smitfraud Variante ...
na dann mal das hier. Poste anschließend die Datei 'C:\smitfiles.txt', ein neues HJT-Log und die 4 Logs der 'datfind.bat' (Dateien der letzten 2-3 Monate reichen)

stupormundi
~~edit~~Servus, Rene-gad:
Zitat:
Nachsatz: Wenn alles sauber ist - was abzuwarten ist - fehlt Dir dann noch das Servicepack 2 wird XP - nachholen!
Eine gute Frage!? ~~/edit~~

Rene-gad 31.03.2006 08:36
@Awexx
Zitat:
So denke mal das ist so richtig:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Darf man Dich fragen, warum an diesem PC SP2 + 70 nachfolgeden Sicherheitspatches nicht installiert sind?

Awexx 31.03.2006 15:46
Datfind.bat

Verzeichnis von C:\WINDOWS\system32

28.03.2006 14:22 302.621 SetupCarnival.exe
28.03.2006 14:22 705 dgprpsetup.exe
28.03.2006 14:22 8.329 rzspy.exe
26.03.2006 19:12 46.068 perfc007.dat
26.03.2006 19:12 38.094 perfc009.dat
26.03.2006 19:12 310.384 perfh007.dat
26.03.2006 19:12 305.652 perfh009.dat
26.03.2006 19:12 705.468 PerfStringBackup.INI
22.03.2006 20:14 2.206 wpa.dbl
18.01.2006 13:05 57.344 avsda.dll
13.10.2005 01:11 118.784 sirenacm.dll

Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: 00A3-0EEA

Verzeichnis von C:\DOKUME~1\Zybrix\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS

31.03.2006 15:01 26 Lic.xxx
31.03.2006 13:52 181.794 setupact.log
31.03.2006 13:42 677.466 ntbtlog.txt
31.03.2006 13:42 0 0.log
31.03.2006 13:42 2.048 bootstat.dat
31.03.2006 08:26 216 wiadebug.log
31.03.2006 08:23 50 wiaservc.log
30.03.2006 14:28 1.213 win.ini
30.03.2006 14:28 227 system.ini
30.03.2006 14:28 4.006 mailremv.log
30.03.2006 14:28 288 INST_TSP.LOG
30.03.2006 14:28 7.521 ESCAN.LOG
30.03.2006 14:11 361 MAILINST.LOG
30.03.2006 14:08 135.778 winsbak2.reg
30.03.2006 14:08 19.516 winsbak.reg
30.03.2006 14:06 98 FLASH.LOG
30.03.2006 08:53 663.494 setupapi.log
27.03.2006 21:44 49 NeroDigital.ini
27.03.2006 21:06 192 Winamp.ini
04.01.2006 14:15 124.703 wmsetup.log
07.07.2005 23:58 563 videoimp.ini



Verzeichnis von C:\

31.03.2006 16:46 0 sys.txt
31.03.2006 16:45 6.577 system.txt
31.03.2006 16:44 123 systemtemp.txt
31.03.2006 16:41 102.402 system32.txt
31.03.2006 16:39 5.338 eScan_neu.txt
31.03.2006 16:34 0 23990098.$$$
31.03.2006 16:34 7 AVPCallback.log
31.03.2006 13:52 3.157 smitfiles.txt
31.03.2006 13:42 805.306.368 pagefile.sys
13.07.2004 20:02 1 REC.TXT

--------------------------------------------------------------------

Awexx 31.03.2006 15:47
smitfiles.txt


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Dokumente und Einstellungen\Zybrix\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1140 'explorer.exe'
Killing PID 1140 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! :)

Awexx 31.03.2006 15:48
HJT:

Logfile of HijackThis v1.99.1
Scan saved at 14:43:22, on 30.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Zockän\CounterStrike Source\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\SystemClean\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] E:\Zockän\CounterStrike Source\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: WinMySQLadmin.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: MySql - Unknown owner - (no file)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

Awexx 31.03.2006 16:21
sorry das letzte hjt logfile war von gestern:

Logfile of HijackThis v1.99.1
Scan saved at 17:18:40, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\msiexec.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Zockän\CounterStrike Source\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
D:\SystemClean\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] E:\Zockän\CounterStrike Source\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: WinMySQLadmin.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A7A9F7E-6601-48D9-89AC-16BDACD6F680}: NameServer = 192.168.1.15,192.168.1.2
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: MySql - Unknown owner - (no file)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

stupormundi 03.04.2006 05:39
Servus!

Hol Dir die killbox , wechlse in den abgesicherten Modus und lösche mit der killbox und der Option 'kill on reboot' (nach Einfügen der Datei wirst Du nach sofortigen 'reboot' gefragt -> immer 'nein' wählen, erst nach dem Einfügen der letzten Datei mit 'ja' neu starten) folgende Dateien
Zitat:
C:\WINDOWS\system32\rzspy.exe
C:\WINDOWS\system32\dgprpsetup.exe
C:\WINDOWS\system32\SetupCarnival.exe
Anschließend mal Ergebnisbericht (wie geht es dem Sys jetzt?). Wie ich sehe, hast Du Sp2 schon nachgeholt - gut!

stupormundi

Awexx 03.04.2006 13:53
So da bin ich wieder. Die Dateien hab ich gelöscht und soweit sieht auch alles wieder ganz gut aus. Nur kann ich momentan keine anderen Hintergrundbilder verwenden als die standard Auswahl. Ist zwar nicht tragisch aber wenn ich ein anderes wähle wird es nicht angezeigt. Hast du da vllt. noch eine Idee was ich machen kann?


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131