Moin,

folgendes ist mir noch eingefallen:
lspfix und clearprog habe ich im abgesicherten modus und im normalen laufen lassen. Vielleicht war das ja ein Fehler?

Registry Säuberung rückgängig gemacht, bringt aber auch nichts.

Immer noch kein Internetzugang und Systemwiederherstellungsoption läßt sich beim Arbeitsplatz nicht aktivieren. Zugang zum Router ist aber da. Nur Outlook und Mozilla wollen nicht.

Escan konnte interessanterweise seinen update fehlerfrei durchführen.

Escan: Wenn ich die Platten scANNE, findet escan keine Fehler, wenn ich die registry und die Systemdateien scanne, dann läuft das Programm durch und wenns fertig ist, geht sofort das Fenster zu in welchem die Fehler gemeldet werden. und in den logs im escan.programmordner finden sich auch nur die des plattenscans.

Folgende datei scheint infiziert: C:\windows\kl.exe infected bei Trojan Spy: Win 32.Small.dg

Und dann wären da noch die beiden edonkex adwares

und eine datei namens c:\windowsiun6002.exe, die mit zipitro spyware infiziert ist. Wie gesagt das programm schließt immer sofort, so dass ich mir das alles merken mußte.

ich hoffe weiterhin, du oder jemand anderes vom Board weiss Rat

cheers,

oli

@brandsafari

#Lade dir SmitfraudFix.zip
SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten.

#Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

#PC neustarten
#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#PC neustarten
#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#PC neustarten
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
"Wallpaper"=-

[-HKEY_CURRENT_USER\Software\Classes\CLSID\{3F245C2A-1558-3CCA-04A8-7AA23B60E40F}]

3. Speichere die Datei als Fix.reg auf Desktop
4.Doppel klick auf diese Datei Fix.reg

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#Neue HijackThis Log,den Report des Ewido Scans, den rapport.txt von SmitfraudFix, Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

Danke, Expert,

Internetzugang ist wieder möglich, nachdem ich den Rechner neu gebootet habe, ohne irgendwelche Maßnahmen!!!! Wer weiss, vielleicht lags an der Stromlosigkeit über 12 Stunden.

Smitrem, adaware und spy bot sind schon gelaufen,
ewido und symatec noch nicht.

Werde ich alles machen, muss jetzt aber erst mal zur Arbeit, also höchstwahrscheinlich erst morgen Ergebnisse da. Trotzdem erstmal vielen Dank für deine Anweisungen.

allet jute,

oli

Servus wieder!
Nachddem hier ja eine Menge Tipps gegeben wurden - Du hast nichts von expert´s Tipps umgesetzt und trotzdem läuft die Mühle wieder?
Sonstige Maßnahmen Deinerseits?
stupormundi

Hallo stupormondi und expert,

ich bin jetzt nach euren Anweisungen vorgegangen und poste die geforderten logfiles:

Logfile of HijackThis v1.99.1
Scan saved at 15:11:05, on 02.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Fast.exe
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\system32\acs.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Eigene Dateien\Sicherheit\HJT\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_08\bin\npjpi142_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_08\bin\npjpi142_08.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



SmitFraudFix v2.01

Rapport fait à 13:05:33,19 le 02.12.2005
Executé à partir de C:\Dokumente und Einstellungen\oli\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\oli\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:37:47, 02.12.2005
+ Report-Checksumme: 9A71C079

+ Scanergebnis:

:mozilla.12:C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Mozilla\Firefox\Profiles\qxnh3gow.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und
Genauso wurden noch 465 weitere Spayware-Cookies von Ewido entfernt, die ich hiern nicht alle poste. Waren aber alles Spyware Cookies.
::Report Ende



smitRem © log file
version 2.7
by noahdfear
Microsoft Windows XP [Version 5.1.2600]
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN!


Im Ordner Temp konnte ich zwei Dateien nicht löschen, weil diese von irgendwelchen Anwendungen benutzt wurde. Die Datei wininet.dll, die als infiziert gemeldet wurde, hat ja auch schon Probleme gemacht, als ich noch nicht ins Netz kam. Kann diese aber nicht manuell entfernen und durch neue, saubere wininet.dll ersetzen.

Ja, ich bin gespannt auf eure Kommentare und freue mich von euch zu hören. Bis dahin erstmal beste Grüße,

Oli

hey Expert und stupormondi, seit ihr noch mit mir???

Hallo Gemeinde,

könnte irgendwer noch mal über die letzten beiden logfiles schauen? Am liebsten natürlich expert, der mir ja zuvor die anweisungen gab, die zum erstellen der files nötig waren.

greetings,

oli

stupormondi, wenn du noch mal drüberschaust, fände ich das natürlich auch super, expert scheint sich verabschiedet zu haben, aber du bist ja noch kräftig am beiträge schreiben.
thanx,
oli

Servus wieder!
Dein HJT Log erscheint mir jetzt sauber!
Zur wininet.dll: Hol Dir eine saubere (von einem anderen, sauberen System oder aus dem I.Net mit einem sauberen System) und gehe am betroffenen System in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html.
Hier benenne die alte wininet.dll um und verschiebe sie vorerst in ein anderes Verzeichnis und ersetze sie dann durch die neue.
Für die beiden nicht löschbaren Dateien nutze die killbox http://www.bleepingcomputer.com/files/killbox.php im abgesicherten Modus mit der Option 'kill on reboot'
Hast Du noch Probleme mit Deinem System?
stupormundi

Hallo stupormondi,

nein, eigentlich keine Probleme mehr. Vielen Dank für deine Hilfe. Was meinst du, soll ich die ganzen Virenscanner weiter laufen lassen, die ich mir im Zuge der Aktion runtergeladen habe, oder reichen AntiVir und ZoneLabs?

Beste Grüße,

Oli