sphjfix geht nicht Einstellungen

[Gast_rock_*]

norton sollte trojan startpage erkennen.

also eintrag fixen - abgesicherter modus - fullscan!
systemwiederherstellung vor der säuberung vorübergehend deaktivieren nicht vergessen!


gruss
rock

edit: (irgendwann solltest du auch schauen ob für dein betriebsystem wichtige sicherheitspatch verfügbar sind - WindowsUpdate!)

Der Beitrag wurde von rock bearbeitet: 05.06.2004, 22:08

[Rokop]

so einfach ist das bei Startpage.gv leider nicht !

[Gast_rock_*]

sch*....was tun?

tut's der CWSshredder? aber wenn norton und kasper den kennen...hmm...

gruss
rock

[Rokop]

Die Ursache beseitigen ist schwer, nicht die Symptome. Er kommt immer wieder !

[Gast_rock_*]

das klingt ja fast 'hoffnungslos'.

er soll mal versuchen was geht...vielleicht haben wir ja eine chance

gruss
rock

[Rokop]

@ Jugendbewegung

Wie gut kennst Du Dich in Sachen Registry aus ? Evtl. kann ich Dir dann eine manuelle Entfernungsmethode nennen. Übrigens kannst Du mal das angehängte Tool entpacken, die find.bat starten und den Inhalt der anschließend entstandenen Textdatei hier reinsetzen.

Angehängte Datei(en)

 xfind.zip ( 1.85KB ) Anzahl der Downloads: 34

 

[Gast_rock_*]

klingt gut... sachen gibt's... immer was im reserveschrank!

[raman]

In Bezug auf die "verstecke" Datei. Die kann inzwischen Kasperskys Cleaner entfernen.Leider loescht sie in dem Zusammenhang nur den Startpage.fw und nicht den Startpage.gv Trojaner. Vieleicht solltest du da mal nachhaken Roman?

[Jugendbewegung]

@ Jugendbewegung

Wie gut kennst Du Dich in Sachen Registry aus ? Evtl. kann ich Dir dann eine manuelle Entfernungsmethode nennen. Übrigens kannst Du mal das angehängte Tool entpacken, die find.bat starten und den Inhalt der anschließend entstandenen Textdatei hier reinsetzen.

Wie gut ich mich mit der Registry auskenne ?
Nunja, suchen und löschen krieg ich schon noch hin,danach hörts jedoch auch schon auf ...
Die Textdatei bringt nur ein :
C:\WINDOWS\System32\CTL.DLL +++ File read error

Der Virenscan im abgesicherten Modus erkennt zwar die flmlea.dll als Trojaner, jedoch ist es nicht möglich diese zu löschen, lediglich eine Isolation ist möglich!

Der Beitrag wurde von Jugendbewegung bearbeitet: 05.06.2004, 22:55

[Rokop]

OK, dann wollen wir mal:

- regedit
- gehe nach HKLM/Software/Microsoft/WindowsNT/
- bennene den Schlüssel Windows in Windowsneu um
- Neustart
- regedit -> Windowsneu -> die Datei ctl.dll müsste nun sichtbar sein
- gehe in den System32 Ordner und lösche die Datei ctl.dll
- anschließend evtl. Einträge mit HJT fixen und mit cwshredder die Reste entfenen
- evtl die flmlea.dll (falls vorhanden) löschen/isolieren

[Rokop]

Fast vergessen: Wenn die ctl.dll tot ist, solltest Du den Schlüssel wieder von Windowsneu in Windows zurückbenennen.

[Jugendbewegung]

Folgendes : - regedit -> Windowsneu -> die Datei ctl.dll müsste nun sichtbar sein
Die Datei ist in der Registry nicht sichtbar !
Soll ich sie trotzdem einfach aus dem System32 Ordner löschen und dann die folgenden Schritte ausführen ?

Der Beitrag wurde von Jugendbewegung bearbeitet: 05.06.2004, 23:46

[Rokop]

Normalerweise ist sie dann solange auch nicht im System32 Ordner sichtbar. Solltest Du sie aber doch sehen, versuch sie zu löschen - notfalls im abgesicherten Modus. Weil diese ctl.dll sorgt dafür, dass der Hijacker immer wieder kommt.

[Xymox]

hallo!

ich hab ein ähnliches problem, leider konnten mir die obigen postings nicht wirklich weiter helfen (bin wohl zu bescheuert bzw. entnervt)

erstmal mein hjt-log:

ogfile of HijackThis v1.97.7
Scan saved at 11:05:45, on 09.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\PROGRA~1\REMCON\client32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\uv05\Eigene Dateien\pp\Sonstiges\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bhfa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bhfa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bhfa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bhfa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bhfa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bhfa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 144.1.0.117:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O1 -

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {BEEDDE9D-E7C4-437B-A9BD-D34A221A4B7C} - C:\WINNT\system32\bhfa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [REMCON PC-Duo System Snapshot] C:\PROGRA~1\REMCON\CLBOOT32.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kvkh.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{39EDF1D1-174D-4D08-9F6C-9C8B5C411E27}: Domain = kvkh.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{39EDF1D1-174D-4D08-9F6C-9C8B5C411E27}: NameServer = 144.1.0.112
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kvkh.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{39EDF1D1-174D-4D08-9F6C-9C8B5C411E27}: Domain = kvkh.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{39EDF1D1-174D-4D08-9F6C-9C8B5C411E27}: NameServer = 144.1.0.112
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kvkh.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{39EDF1D1-174D-4D08-9F6C-9C8B5C411E27}: Domain = kvkh.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{39EDF1D1-174D-4D08-9F6C-9C8B5C411E27}: NameServer = 144.1.0.112

(O1 - Einträge habe ich gelöscht -> dienstlich und ohne belang)


1. sphjfix funktioniert nicht -> nicht infiziert

2. habe dann die datei "C:\WINNT\system32\bhfa.dll/sp.html" (offensichtlich der übeltäter) mehreren viren-prüfungen unterzogen (online/offline/abgesichter modus). leider schlug kein scanner alarm, d.h. alle scanner sagten, mein system sei viren-frei. habe auch die hier im posting genannten scanner ausprobiert.

3. problem: ich bekomme die datei nicht gelöscht bzw. isoliert da kein scanner alarm schlägt; manuell löschen funtioniert natürlich auch nicht...

schon mal danke für eure hilfe, bin total verzweifelt da dies mein arbeitsplatz-rechner ist...

cu,
Xy

[Rokop]

Diese Datei:

C:\WINNT\system32\bhfa.dll/sp.html

ist nur die Auswirkung, der eigentliche Übeltäter ist eine dll, die auch im System32 Ordner sitzt aber nicht sichtbar ist. Du erkennst den Namen, wenn du die angefügte Datei entpackst, die find.bat startest, wartest bis sich das Fenster geschlossen hat und anschließend die neu entstandene Textdatei ausliest (Du kannst den Inhalt auch gern hier reinpasten)

[Xymox]

leider habe ich das gleich problem wie Tyler, die textdatei ist leer...

[Remover]

Bin heute auch wieder bei einem Kunden auf eine SP.HTML Variante gestossen.

Da war eine pan.dll im System32 ordner ueber die Registry zu sehen
aber im Ordner nicht zu sehen. (Wie macht das Teil das eigentlich genau?)

Habe ein wenig zu kaempfen gehabt im abgesicherten Modus
und zum Schluss einige Dateien einfach umbenannt.

Da waren z.b. zhelp.exe ziphelp.exe unter C:\windows
und stozilla.dll , winhoh.dll usw. in c:\windows\system32
Man konnte sie alle am einheitlichen Datum erkennen, wobei aber
die Uhrzeiten unterschiedlich waren. (14.32 15.45 16.30 etc.)

Angezeigt wurde ausserdem vorher eine msopt.dll und sr.dll
die ebenfalls nicht zu finden waren.

Euer Tool hat uebrigens die Infizierung erkannt aber das BHO file nach
Restart nicht gefunden. Habe die Dateien auch alle mal bei
Kaspersky Onlinescan checken lassen, leider alles negativ.
Zwar komische Packervarianten aber kaspersky kannte das
Teil offenbar noch nicht.

Naja, das war heute so gegen 13.30 Uhr.
Bis jetzt noch keine Reinfektion, ausserdem ist der Kunde
umgestiegen auf Mozilla.

Der Beitrag wurde von Remover bearbeitet: 11.06.2004, 15:25

[paff]

@remover

Probiers mal hiermit die Datei anzeigen zu lassen
cmd /c "attrib -h -s -r %System%\<name der DLL>

Gruß paff

[Remover]

@Paff

Kann ich machen, glaube aber nichts das es etwas bewirkt.
Hatte extra Systemdateien und versteckte anzeigen usw. aktiviert.
Kommt glaube ich auf dasselbe raus.....

Naja, ich teste es beim naechsten Hijacker Kunden aus, okay?!

[Weinford]

Hallo, kann mir vielleicht jemand helfen. Komme mit den Tips von bisher nicht zurecht. Ich poste mal alle Logfiles und bin für jeden Tip dankbar!

---------
Spybot findet immer wieder von neuem:

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-484763869-1202660629-1060284298-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

WebDialer: Settings (Registry value, nothing done)
HKEY_USERS\S-1-5-21-484763869-1202660629-1060284298-500\Software\Microsoft\Internet Explorer\Main\HOMEOldSP


-----
15.06.2004 01:00:40 SPhjFix started v1.07
15.06.2004 01:00:40 Stealth-String not found -> Programm terminated
-----

Logfile of HijackThis v1.97.7
Scan saved at 01:44:00, on 15.06.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\WINNT\System32\desk95.exe
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp5\winampa.exe
C:\WINNT\System32\internat.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Kazaa Lite K++\KazaaLite.kpp
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\datatoburn\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {99E1895B-3342-4181-9325-0603665B33F5} - C:\WINNT\System32\ina.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp5\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [sysinfo] C:\windows\addins\winmech.lnk
O4 - HKCU\..\Run: [server] C:\windows\addins\server.lnk
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1111111D-4111-1111-1111-111115555555} - ms-its:mhtml:file://C:\document.mhtml!http://www.ultra-galleries.com/counter/data/load.chm::/init.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{521008A3-D791-470D-A376-C2DDD361C2B5}: NameServer = 193.189.244.197
O17 - HKLM\System\CCS\Services\Tcpip\..\{5765157F-4F88-4FE0-BDA2-1B4CD500A9CE}: NameServer = 195.235.113.3,195.235.96.90
------------------



--==***@@@ 'FIND-ALL' »»*Original*»» VERSION *10.1 -6/10 @@@***==--

»»»»»»Find-All recent updates:»»»»»»
*Size of Windows key
*Winlogon\notify
*UserInit value
*Copy of 'hosts' file and *Loaded Modules (In \FilesList Subfolder)
*Versions of major keys and windows files
*list of active services and drivers (\'FilesList')
*Note:
If using 'Find-All' to clean, be sure to include the link to your
post in the forum!! (I keep recieving files I don't know where they came from...0-0...)
*Note: Reg backup restore will not work if current user
doesn't have 'Admin privileges'! (view »»Group/user section)


Tue Jun 15 01:54:15 2004 -- ++Results:
»»System Info:

Microsoft Windows 2000 [Version 5.00.2195]
'Find-All' is running from Drive:
C: "Programs" (FC55:4380) - FS:NTFS clusters:4k
Total: 10 487 197 696 [10G] - Free: 3 813 462 016 [3.6G]


»»IE version and Service packs:
6.0.2800.1106 C:\Programme\Internet Explorer\Iexplore.exe
--a-- W32i APP ENU 6.0.2800.1106 shp 91,136 08-29-2002 iexplore.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;

»»Google:

»»UserAgent:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


»»Wmplayer version:
9.0.0.2980 C:\Programme\Windows Media Player\wmplayer.exe
--a-- W32i APP ENU 9.0.0.2980 shp 73,728 12-11-2002 wmplayer.exe
6.4.9.1117 C:\Programme\Windows Media Player\mplayer2.exe
--a-- W32i APP ENU 6.4.9.1117 shp 5,120 05-03-2001 mplayer2.exe

»»M$Java version:
5.0.3234.0 C:\WINNT\System32\msjava.dll
--a-- W32i DLL ENU 5.0.3234.0 shp 940,304 12-10-1999 msjava.dll

»»NotePad(s) version(s):
5.0.2140.1 C:\WINNT\notepad.exe
--a-- W32i APP DEU 5.0.2140.1 shp 51,472 12-10-1999 notepad.exe
5.0.2140.1 C:\WINNT\System32\notepad.exe
--a-- W32i APP DEU 5.0.2140.1 shp 51,472 12-10-1999 notepad.exe

»» Regedit* version(s):
5.0.2134.1 C:\WINNT\regedit.exe
--a-- W32i APP DEU 5.0.2134.1 shp 76,048 12-10-1999 regedit.exe
5.0.2147.1 C:\WINNT\System32\regedt32.exe
--a-- W32i APP DEU 5.0.2147.1 shp 142,096 12-10-1999 regedt32.exe


»»PC uptime:
1:54am up 0 days, 0:52

»»Locked or 'Suspect' file(s) found...

»»»»»»»»»»»»»»»»»»***Attention!***»»»»»»»»»»»»»»»»
Files listed in this section (in System32) are not always definitive!
Always Double Check and be sure the file pointed doesn't exist!

»»Tasks (services):
0 System Process
8 System
160 smss.exe
184 csrss.exe Title:
204 winlogon.exe Title: NetDDE Agent
232 services.exe Svcs: Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,lanmanworkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,Wmi
244 lsass.exe Svcs: PolicyAgent,SamSs
408 svchost.exe Svcs: RpcSs
436 SPOOLSV.EXE Svcs: Spooler
464 CCEVTMGR.EXE Svcs: ccEvtMgr
568 CDANTSRV.EXE Svcs: C-DillaSrv
588 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
608 mgabg.exe Svcs: MGABGEXE
624 NAVAPSVC.EXE Svcs: navapsvc
668 NPROTECT.EXE Svcs: NProtectService
732 regsvc.exe Svcs: RemoteRegistry
820 mstask.exe Svcs: Schedule
844 NOPDB.EXE Svcs: Speed Disk service
900 stisvc.exe Svcs: StiSvc
932 vsmon.exe Svcs: vsmon
988 explorer.exe Title: Program Manager
1008 winmgmt.exe Svcs: WinMgmt
1020 mspmspsv.exe Svcs: WMDM PMSP Service
1056 SymTray.exe Title: SymTray
1112 Desk95.exe Title:
1144 atiptaxx.exe Title: ATI Tray Icon Application
1160 realplay.exe Title:
1172 qttask.exe Title: QTPlayer Tray Icon
1200 ccApp.exe Title: Norton AntiVirus
1232 pdesk.exe Title:
1252 daemon.exe Title: Virtual DAEMON Manager V3.33
1256 winampa.exe Title:
1260 internat.exe Title:
1288 AcroTray.exe Title: AcrobatTrayIcon
1388 zonealarm.exe Title: PermissionDlg
1404 KazaaLite.kpp Title: Kazaa Lite K++ - [Traffic]
1612 edonkey2000.exe Title:
1772 IEXPLORE.EXE Title: Startseite: about:blank - ...\sp.html (obfuscated) - Anleitung mit Entfernungsprogramm - Microsoft Internet Explorer
1820 notepad.exe Title: hijackthis.log - Editor
332 WINZIP32.EXE Title: WinZip (Unregistered) - XFIND.ZIP
1488 cmd.exe Title: C:\WINNT\System32\cmd.exe
1596 ntvdm.exe
1812 tlist.exe
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99E1895B-3342-4181-9325-0603665B33F5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{D2D5885E-83FF-4FE9-83CC-DC8DACCC2D20}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{D2D5885E-83FF-4FE9-83CC-DC8DACCC2D20}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM




»»Size of 'Windows' key: (Default-450;No'AppInit'-398;*Fake-~448+!)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows\SYS:Microsoft\Windows NT\CurrentVersion\Windows : AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ : AppInit_DLLs

»»Winlogon\notify:

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
Size of HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: 2572

»»UserInit value:

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit REG_SZ C:\WINNT\system32\userinit.exe,

5.0.2159.1 C:\WINNT\System32\userinit.exe
--a-- W32i APP DEU 5.0.2159.1 shp 17,168 12-10-1999 userinit.exe

»»Group/user settings:


User: [VIDEOMAIN\Administrator], is a member of:

VORDEFINIERT\Administratoren
\Everyone

User is a member of group VIDEOMAIN\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group \LOKAL.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.

»»ACLs list:
C:\junkxxx Jeder:(OI)(CI)F

ERROR: Es sind keine weiteren Dateien vorhanden.


»»File(s) in 'junkxxx' folder:

»»Md5sums

MD5sums 1.1 freeware for Win9x/ME/NT/2000/XP+
Copyright © 2001-2002 Jem Berkes - http://www.pc-tools.net/


0 bytes, 0 ms = 0.00 MB/sec

»»hosts file:
R C:\WINNT\System32\Drivers\etc\hosts
-r--- - - - - - 26,657 06-15-2004 hosts
------
»»Rehash:

»Strings found:

Tue Jun 15 01:54:23 2004 -- ++Find-All backups:
A C:\FindallwinBackup.hiv
--a-- - - - - - 8,192 06-15-2004 findallwinbackup.hiv
A C:\findallappinit.reg
--a-- - - - - - 632 06-15-2004 findallappinit.reg
A C:\Find-All\Find-All\winBackup.hiv
A C:\Find-All\Find-All\Fileslist\copyhosts.txt
A C:\Find-All\Find-All\Fileslist\drivers.txt
A C:\Find-All\Find-All\Fileslist\modules.txt
A C:\Find-All\Find-All\Fileslist\services.txt
A C:\Find-All\Find-All\Fileslist\windows.txt

***Next Registry run should open this key directly:

! REG.EXE VERSION 2.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
LastKey REG_SZ My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows


------------------