spysheriff+eventwvr.exe Einstellungen

[osnabrueck]

Hallo,
nachdem ich mir mit spysheriff eine der "nettesten" software eingefangen hatte, die einen pc übernehmen können, suche ich bei euch hilfe, um die letzten überbleibsel der infektion zu vernichten.
ich vermute eventwvr.exe als den letzten übeltäter, will aber auch nicht ein programm löschen, das für andere anwendungen eventuell noch gebraucht wird.

was ratet ihr mir, wie kann ich jetzt vorgehen? vielen dank!
mein log:
Logfile of HijackThis v1.99.1
Scan saved at 22:22:20, on 23.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\paytime.exe
C:\WINDOWS\system32\srwhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Timerle\Timerle.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\srshost.exe
C:\VstaScan\VsAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\explorer.exe
C:\Programme\IDM Computer Solutions\UltraSentry\us.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DownloadsAusDemNet\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe
O4 - HKLM\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\RunServices: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
->> O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [Key] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\100.tmp
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O4 - HKCU\..\Run: [UltraSentry] C:\Programme\IDM Computer Solutions\UltraSentry\us.exe -scd
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Umax VistaAccess.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

edit: hab mal die für mich zweifelhaften einträge markiert, habe ich welche übersehen?
edit2: jetzt auch in rot

Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 21:52

[Voyager]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe
O4 - HKLM\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe
O4 - HKLM\..\RunServices: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
->> O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [Key] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\100.tmp
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll

es sind doch noch ein paar mehr.
ich erinnere hierbei aber an den beitrag von Raman , der die Probleme bei derart von Infizierungen auf den Punkt bringt .
http://www.rokop-security.de/index.php?sho...ndpost&p=144336
Auch hier wäre Neuaufsetzen die bessere Lösung.

[osnabrueck]

puhhh, was ne arbeit - aber ich denke, sie hat sich gelohnt
nachdem ich meinen eintrag hier geschrieben hatte, bin ich über eure erste hilfe hier gestolpert: http://www.rokop-security.de/index.php?showtopic=3867
1000 dank für diese zusammenfassung, ich glaube nicht, daß ichs ohne geschafft hätte! vielen dank auch dir bond7, für deine mühen!
tolles forum hier
ich würd ja gerne öfter reinschauen, aber ich hoffe, daß es nicht wieder wegen sonem adware-trojaner-nachlader-scheiss ist.

meine nerven wären fast draufgegangen dabei, die virii und die trojaner zu löschen. hab die einträge nicht mehr gezählt, es waren einige - und das bei einem system, das seit wenigen wochen erst läuft und von mir eigentlich für nur ganz wenige und immer dieselben websites genutzt wird!
als der hartnäckigste brocken erwies sich der Troj/Downloader -AAl (die Spysheriff Variante), der nicht nur eine hartnäckige assel in sämtlichen verzeichnissen, sondern auch dazu in der lage ist, dateien zu löschen.
das würde auch erklären, warum pc-cillin seitdem nicht mehr startet (Cannot query Real-Time Scanning Staus =?!?!?)

eine mit einem virus infizierte datei senssrv.dll im c:\win\sys32 verzeichnis wollte sich auch partout nicht löschen lassen, weder mit killbox noch mit dos, nichtmal im abgesicherten modus. killbox stürzte beim löschversuch ständig ab, auch im abgesicherten modus. die einzige rettung war hier nach dem ausschalten der systemwiederherstellung im abgesicherten modus killbox anzuweisen, das file BEIM NEUSTART erst zu löschen. seitdem war ich den plagegeist los YEAH!

nach hartem kampf habe ich das system dank esafe und killbox und registryeditor jetzt immerhin soweit (s.log unten)
*stolzsei*
das pc-cillin geht noch nicht wieder, das ist von aber da das schrottdingen nich nicht vor unheil bewahrt hat, steht es jetzt sowieso auf der abschußliste.
das ansonsten von mir geliebte und gepriesene adaware fand übrigens nichts von belang, soviel dazu.
jetzt noch die startseite im IE über registry ändern, und dann solls wohl endlich passen. UFF!!!

sooo, dann werd ich mal ... mich für 2 stunden aufs ohr hauen, bis ich mich dann für die arbeit fertig machen darf. welch spannender abend, wieder viel gelernt über das system.
vielen dank für die hilfe!
gruss aus osnabrück,
carmen

[osnabrueck]

Logfile of HijackThis v1.99.1
Scan saved at 03:45:42, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Timerle\Timerle.exe
C:\VstaScan\VsAccess.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DownloadsAusDemNet\Hijack\KillBox.exe
C:\DownloadsAusDemNet\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Umax VistaAccess.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

habe ich etwas übersehen? außer der startseite des IE, darum kümmere ich mich morgen

[osnabrueck]

okidoki, der sheriff ist härter als gedacht.
nachdem ich durch einen eingriff (löschen des wallpaper-keys) in der registry den blauen, nicht mehr veränderbaren desktophintergrund endlich wieder durch meinen ersetzen konnte, tritt ein neues problem auf.

die auf dem desktop liegenden icons haben unter der schrift die blaue farbe des bildschirmhintergrunds übernommen. "durchsichtig" war gestern. heute ist permanent stahlblau.

änderung über systemsteuerung>system> eigenschaften brachte keine veränderung. erstens war dort ein häkchen bei durchsichtig, zweitens kann ichs hier rausnehmen oder auch im abgesicherten modus, es ändert sich rein gar nichts.

der abgesicherte modus läßt sich neuerdings übrigens nur mit netzwerkunterstützung laden. habs aufgegeben, nachdem er mich ungefähr 4 minuten warten ließ. dafür lädt er den abgesicherten modus mit netzwerkunterstützung ratz fatz.
pc cillin meckert natürlich auch immer noch.
hin und wieder stürzt der pc beim herunterfahren ab, ein speicherabbild wird erstellt (gestern insgesamt 3x passiert, zuletzt fehlermeldung: pagefault in nonpaged area, davor jedes mal eine andere fehlermeldung vor dem erstellen des speicherabbilds).

was soll man dazu sagen? top arbeit, programmierer des spysherrifs!
wenn man mal nichts zu tun hat, sollte man sich mal solch ein süsses progrämmchen auf den pc holen. bin schwer begeistert. könnt kot(z)en.


jemand ne idee, wie ich diese blaue hinterlegung der schriften wegbekomme?
welcher reg-key ist dafür verantwortlich?
will nicht schon wieder das system platt machen, habe meine neue festplatte gerade erst wieder so hin, daß man vernünftig mit den programmen arbeiten kann.

danke für die hilfe,
carmen

[osnabrueck]

Logfile of HijackThis v1.99.1
Scan saved at 06:14:39, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Timerle\Timerle.exe
C:\VstaScan\VsAccess.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DownloadsAusDemNet\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ie?hl={SUB_RFC1766}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie?hl={SUB_RFC1766}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ie?hl={SUB_RFC1766}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/ie?hl={SUB_RFC1766}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.de/ie?hl={SUB_RFC1766}
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Umax VistaAccess.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

[raman]

Obwohl ich neu Aufsetzen wuerde, musst du auf jeden Fall nach der Reinigung alle Passworte und aehnliches aendern.

Wenn du reinigen willst, mache bitte folgendes:

Nutze diesen Cleaner, wie beschrieben:

http://siri.geekstogo.com/SmitfraudFix_De.php

Nutze datfindbat: http://virus-protect.org/datfindbat.html

Kopiere aus jeder TXT ungefaehr die letzten 3 Monate und fuege sie hier ein.


Fixe diese Eintraege:
R3 - Default URLSearchHook is missing
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll

[osnabrueck]

habe gerade den spybot drüberlaufen lassen.
vielleicht hilfts ja wem:
Spy Sheriff: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1960408961-1958367476-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn!=dword:0

Windows.Explorer: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1960408961-1958367476-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn!=W=0

Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

das scheint ja ein wirklich ausgebuffter sheriff zu sein.
aber den transparent modus habe ich immer noch nicht gefunden



jetzt gehts an den smit - danke für die tolle hilfe!

[osnabrueck]

böhmische dörfer, teil 1 : datfindbat:

Verzeichnis von C:\WINDOWS\system32

24.04.2006  05:29            2.206 wpa.dbl
24.04.2006  03:53                0 8104297.jun
24.04.2006  00:41              552 d3d8caps.dat
23.04.2006  21:06            20.465 rpcc.exe
23.04.2006  20:51            4.598 KGyGaAvL.sys
23.04.2006  20:51                88 FF17532295.sys
23.04.2006  20:50            15.360 BASSMOD.dll
17.04.2006  04:14            23.392 nscompat.tlb
17.04.2006  04:14            16.832 amcompat.tlb
14.04.2006  21:38          115.768 FNTCACHE.DAT
06.04.2006  21:48        5.143.456 MRT.exe
30.03.2006  11:26        1.492.480 shdocvw.dll
30.03.2006  03:16            18.944 xpsp3res.dll
23.03.2006  22:34        3.074.560 mshtml.dll
18.03.2006  13:09          615.424 urlmon.dll
17.03.2006  11:11          679.424 inetcomm.dll
17.03.2006  06:03        8.493.056 shell32.dll
17.03.2006  02:38            28.672 verclsid.exe
10.03.2006  06:09        5.533.696 wmp.dll
07.03.2006  00:52            6.919 jupdate-1.5.0_06-b05.log
04.03.2006  05:34          664.064 wininet.dll
04.03.2006  05:34          474.624 shlwapi.dll
04.03.2006  05:34          146.432 msrating.dll
04.03.2006  05:34          532.480 mstime.dll
04.03.2006  05:34            39.424 pngfilt.dll
04.03.2006  05:34          448.512 mshtmled.dll
04.03.2006  05:34        1.056.256 danim.dll
04.03.2006  05:34          205.312 dxtrans.dll
04.03.2006  05:34            55.808 extmgr.dll
04.03.2006  05:34            96.768 inseng.dll
04.03.2006  05:34          251.392 iepeers.dll
04.03.2006  05:34          152.064 cdfview.dll
04.03.2006  05:34        1.022.976 browseui.dll
14.02.2006  09:20          550.120 LegitCheckControl.dll
06.02.2006  00:18          176.167 rmoc3260.dll
06.02.2006  00:18            5.632 pndx5032.dll
06.02.2006  00:18            6.656 pndx5016.dll
06.02.2006  00:18          278.528 pncrt.dll
06.02.2006  00:09            39.992 perfc009.dat
06.02.2006  00:09          311.604 perfh009.dat
06.02.2006  00:09          316.594 perfh007.dat
06.02.2006  00:09            48.156 perfc007.dat
06.02.2006  00:09          723.744 PerfStringBackup.INI
05.02.2006  21:11          845.968 AI - Series.scr
05.02.2006  20:57              239 NVU001.nvu
05.02.2006  20:35              261 $winnt$.inf
05.02.2006  20:30            2.951 CONFIG.NT
05.02.2006  20:28              488 WindowsLogon.manifest
05.02.2006  20:28              488 logonui.exe.manifest
05.02.2006  20:28              749 ncpa.cpl.manifest
05.02.2006  20:28              749 cdplayer.exe.manifest
05.02.2006  20:28              749 sapi.cpl.manifest
05.02.2006  20:28              749 nwc.cpl.manifest
05.02.2006  20:28              749 wuaucpl.cpl.manifest
05.02.2006  20:26            21.740 emptyregdb.dat
05.02.2006  19:22                0 h323log.txt
18.01.2006  13:05            57.344 avsda.dll
04.01.2006  04:35            68.096 webclnt.dll
30.12.2005  20:16            77.824 xvid.ax
30.12.2005  20:10          761.856 xvidcore.dll
29.12.2005  03:54          280.064 gdi32.dll
08.12.2005  13:56            65.536 QuickTimeVR.qtx
08.12.2005  13:56            49.152 QuickTime.qts
07.12.2005  18:05          716.800 divxdec.ax
07.12.2005  18:05          663.552 divx_xx11.dll
07.12.2005  18:05          679.936 divx_xx07.dll
07.12.2005  18:05          679.936 divx_xx0c.dll

[osnabrueck]

SmitFraudFix v2.34

Scan done at 22:36:14,60, 24.04.2006
Run from C:\DownloadsAusDemNet\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

ömm jaaa?!?!
geh ich recht in der annahme, daß diese hier: "browseui.dll" ein kleines problem hat?

edit: lesbarer gemacht

Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 21:58

[osnabrueck]

soooo, melde vollzug:

SmitFraudFix v2.34

Scan done at 22:42:56,59, 24.04.2006
Run from C:\DownloadsAusDemNet\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» End

das war ja einfacher, als ich dachte. aber leider wirkungslos. nach dem neustart war erstmal der desktophintergrund wieder verschwunden, den habe ich dann nochmal drüber installiert, leider sind die blau unterlegten icon-beschreibungen immer noch da und auch sonst scheint sich nicht viel getan zu haben. hmm

jemand noch ne idee???

Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 21:57

[Mopao]

@osnabrueck

#Diese Datei C:\Programme\Timerle\Timerle.exe hier überprüfen & Ergebnis posten
http://virusscan.jotti.org/de

#PC neustarten
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
R3 - Default URLSearchHook is missing
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche: Falls vorhanden
C:\WINDOWS\system32\srwhost.exe
C:\WINDOWS\system32\srshost.exe
c:\secure32.html
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\eventwvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\WINDOWS\SYSTEM32\senssrv.dll

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Inhalt folgende ordner loeschen:
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

#Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten. (Bitte am Ende) --->Mit Internet Explorer

#Alle wichtigten Passwärter ändern

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neue HijackThis Log, den Report des Ewido Scans, Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Mopao

[osnabrueck]

@osnabrueck

#Diese Datei C:\Programme\Timerle\Timerle.exe hier überprüfen & Ergebnis posten
http://virusscan.jotti.org/de

das ist nur mein wecker auf dem pc, der ist stammt von einer seriösen seite und ist sauber.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
R3 - Default URLSearchHook is missing
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)

das geht doch mit dem hijack this nicht mehr
oder hab ich doch was übersehen?
ich schau nochmal nach.

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche: Falls vorhanden
C:\WINDOWS\system32\srwhost.exe
C:\WINDOWS\system32\srshost.exe
c:\secure32.html
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\eventwvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\WINDOWS\SYSTEM32\senssrv.dll

die dateien sind schon gelöscht, alle dateien anzeigen ist immer aktiviert.

rest kommt gleich als edit
vielen dank für deine mühe!!!

Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 23:59

[osnabrueck]

hallo mopao,
tut mir leid, daß ich dich solange warten lassen habe - dieses "ich poste gleich die ergebnisse" war wohl etwas voreilig... und, NATÜRLICH kann man die einträge mit hijackthis fixen, war klar, daß du völlig richtig gelegen hast. ich habe hier schon den programmkoller ...soviele neue programme heute, da wird man ja ganz wuschig

also, zwischenresultate:

  smitRem © log file
    version 2.8

    by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Dokumente und Einstellungen\Administrator\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright© 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key
PSGuard.com key not present!
checking for WinHound.com key
WinHound.com key not present!
spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright© 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1896 'explorer.exe'
Killing PID 1896 'explorer.exe'
Starting registry repairs
Registry repairs complete
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SharedTask Export after registry fix
(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright© 2006 BleepingComputer.com
Registry Pseudo-Format Mode (Not a valid reg file):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Deleting files
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN!

[osnabrueck]

Logfile of HijackThis v1.99.1
Scan saved at 01:23:42, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DownloadsAusDemNet\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.de/ie?hl={SUB_RFC1766}
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Programme\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Programme\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Umax VistaAccess.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Programme\SpyCatcher 2006\Protector.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll
O20 - AppInit_DLLs: interceptor.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

was ist denn das??? gleich mal nachsehen

Der Beitrag wurde von osnabrueck bearbeitet: 25.04.2006, 01:02

[osnabrueck]

--------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am:  01:45:44, 25.04.2006
+ Report-Checksumme: 2B68FF5

+ Scanergebnis:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9YCHDACP\11500[1].exe -> Dropper.Small.na : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.20:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.23:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.25:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.39:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.40:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.41:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.42:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.43:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.44:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.54:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
:mozilla.55:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
:mozilla.58:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
:mozilla.89:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.90:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.91:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.92:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.93:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.94:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.99:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
:mozilla.100:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
:mozilla.101:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
:mozilla.102:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
:mozilla.103:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
:mozilla.109:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.110:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.116:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.117:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.118:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.132:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
:mozilla.133:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
:mozilla.134:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
:mozilla.135:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
:mozilla.139:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Com : Gesäubert mit Backup
:mozilla.142:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup
:mozilla.143:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup
:mozilla.144:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup
:mozilla.145:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup
:mozilla.163:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ru4 : Gesäubert mit Backup
:mozilla.164:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ru4 : Gesäubert mit Backup
:mozilla.165:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ru4 : Gesäubert mit Backup
:mozilla.180:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Hotlog : Gesäubert mit Backup
:mozilla.184:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
:mozilla.185:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
:mozilla.203:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.221:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Oewabox : Gesäubert mit Backup
:mozilla.244:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
:mozilla.245:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
:mozilla.246:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
:mozilla.247:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
:mozilla.251:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.252:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Spylog : Gesäubert mit Backup
:mozilla.257:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup
:mozilla.258:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup
:mozilla.259:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup
:mozilla.271:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
:mozilla.273:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tribalfusion : Gesäubert mit Backup
:mozilla.274:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tribalfusion : Gesäubert mit Backup
:mozilla.283:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.299:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Yadro : Gesäubert mit Backup
:mozilla.303:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
:mozilla.304:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
:mozilla.306:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
:mozilla.307:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
:mozilla.332:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Masterstats : Gesäubert mit Backup
:mozilla.337:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
:mozilla.338:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
:mozilla.339:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
:mozilla.340:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
:mozilla.341:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup
:mozilla.343:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adjuggler : Gesäubert mit Backup
:mozilla.344:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adjuggler : Gesäubert mit Backup
:mozilla.345:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.346:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.350:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Onestat : Gesäubert mit Backup
:mozilla.351:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Onestat : Gesäubert mit Backup
:mozilla.382:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert mit Backup
:mozilla.383:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert mit Backup
C:\Programme\Internet Explorer\update.exe -> Adware.BHO : Gesäubert mit Backup
C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP1\A0000006.DLL -> Adware.BHO : Gesäubert mit Backup
C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002208.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup
C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002209.exe -> Dropper.Small.na : Gesäubert mit Backup
C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002210.dll -> Adware.BHO : Gesäubert mit Backup
C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002212.exe -> Not-A-Virus.SpamTool.Win32.Agent.g : Gesäubert mit Backup
C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002214.exe -> Backdoor.Rbot.adf : Gesäubert mit Backup
C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002218.exe -> Hijacker.StartPage.adi : Gesäubert mit Backup
C:\!KillBox\viren.zip/senssrv.dll -> Downloader.Agent.afl : Gesäubert mit Backup
C:\!KillBox\viren.zip/senssrv.dll( 1) -> Downloader.Agent.afl : Gesäubert mit Backup
C:\!KillBox\viren.zip/srshost.exe -> Proxy.Agent.hy : Gesäubert mit Backup
C:\!KillBox\viren.zip/srshostu.exe -> Proxy.Agent.bz : Gesäubert mit Backup
C:\!KillBox\viren.zip/srwhost.exe -> Backdoor.Rbot.adf : Gesäubert mit Backup
C:\!KillBox\viren.zip/taskdir.dll -> Proxy.Lager.aq : Gesäubert mit Backup
C:\!KillBox\viren.zip/taskdir~.exe -> Not-A-Virus.SpamTool.Win32.Agent.g : Gesäubert mit Backup
C:\!KillBox\viren.zip/winbrume.dll -> Adware.BHO : Gesäubert mit Backup
C:\!KillBox\viren.zip/winl0gon.exe -> Dropper.Small.na : Gesäubert mit Backup
C:\!KillBox\viren.zip/winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup
C:\!KillBox\viren.zip/paytime.exe -> Hijacker.StartPage.adi : Gesäubert mit Backup
C:\schrott\winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup
C:\schrott\tool3.exe -> Proxy.Small.bo : Gesäubert mit Backup
C:\schrott\tool5.exe -> Hijacker.Small.kr : Gesäubert mit Backup
C:\schrott\tool2.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup
C:\sets\kleinzeugs\selfhtml811.zip/javascript/objekte/anzeige/string_substring.htm -> Worm.Feebs.em : Fehler beim Säubern
D:\wasg all inclusive\download programme\rgl18.exe/of_play_ins_w_2039.exe -> Adware.OnFlow : Gesäubert mit Backup
D:\wasg all inclusive\download programme\rgl18.exe/tsad.dll -> Adware.TimeSink : Gesäubert mit Backup
D:\wasg all inclusive\download programme\rgl18.exe/tsadbot.exe -> Adware.TimeSink : Gesäubert mit Backup
D:\wasg all inclusive\download programme\rgl18.exe/of_play_ins_w_2039.exe -> Adware.OnFlow : Gesäubert mit Backup
D:\wasg all inclusive\download programme\rgl18.exe/tsad.dll -> Adware.TimeSink : Gesäubert mit Backup
D:\wasg all inclusive\download programme\rgl18.exe/tsadbot.exe -> Adware.TimeSink : Gesäubert mit Backup
D:\kleinzeugs\selfhtml811.zip/javascript/objekte/anzeige/string_substring.htm -> Worm.Feebs.em : Fehler beim Säubern


::Report Ende

dass ausgerechnet das selfhtml811 einen worm haben soll, kann ich irgendwie nicht glauben. ich habs von der originalseite. strange.

jaaa, dann werd ich mal... weiterziehen zu symantec!
vielen, herzlichen dank, wenn ich einen hut auf hätte, würde ich ihn ziehen. top anleitung, bin begeistert

Der Beitrag wurde von osnabrueck bearbeitet: 25.04.2006, 01:05

[osnabrueck]

YEAHHHHHHHHHHHHHHH SIEEEEEEEG!!!!!

Wir haben es geschafft! Symantec:

C:\Recycled\Dc4.exe is infected with Download.Trojan 
C:\Recycled\Dc5.exe is infected with Trojan.Adclicker 

einmal papierkorb leeren und....

würd sagen: WIR HABENS GEPACKT! *freujubelstrahltotalrumhüpfjubeltanzaufführ*
1000 Dank!
Wen kann ich wo zu einem Kaffee einladen?!


PARTY!!!

und als besonderer bonus:
auch die icons haben wieder eine transparente farbe auf dem desktop.
ahhhh soooo herrlich !!!! schubschubiduah!

[raman]

Es fehlen noch die anderen Teile von datfindbat.

Folgende Dateien bitte an virus@rokop-security.de schicken:

c:\windows\system32\rpcc.exe
c:\windows\system32\KGyGaAvL.sys

Die Meldung bei selfhtml811 halte ich fuer einen Fehlalarm


Nachrtrag, in diesem Ordner befinden sich noch einige DLL Dateien, deren Name mit IBM beginnt, diese musst du auch noch loeschen
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

[osnabrueck]

im system verzeichnis sind keine ibm dateien mehr übrig geblieben.
die einzigen ibm dateien, die noch auf dem rechner sind, sind:
in c:\windows\inf:
ibmvcap.inf
und ibmvcap.pnf

im windows\system gab es mal eine ibm00004-datei, die hatte ich zwischendurch schonmal gelöscht.
die suche nach ibm* auf c: inkl aller verzeichnisse, inkl. versteckten dateien etc. gab keine weiteren *ibm* dateien.

die mail an virus@rokop geht gleich raus.

nochmal herzlichen dank für die unterstützung! ich bin mir sicher, daß ich ohne eure hilfe nicht auch nur annähernd soweit gekommen werde. bei fragen- einfach mal profis fragen toll! danke schön!!!!

Carmen

edit: mail ist gerade raus

Der Beitrag wurde von osnabrueck bearbeitet: 25.04.2006, 11:30

[raman]

Den Reste der datfind Dateien wuerden wir gerna auch noch sehen!