Hallo

ich wurde Opfer der .wmf lücke und habe mir einige böse Infektionen geholt, mein browser popt plötzlich auf schwedische Sexseiten und ich kann keine Bilder mehr mit dem Windows Bild und Fax Programm sehen auch ist die Vorschau innerhalb eines Ordners nicht mehr möglich.

Leider verstehe ich nur Bahnhof bei meinem logfile, habe aber die O15er trusted sites bereits gelöscht. Habe mich aber noch nicht an die active-x gewagt.

Vielen Dank im Voraus für Eure Hilfe beim Hausputz.


Fritze




Logfile of HijackThis v1.99.1
Scan saved at 18:48:20, on 15.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xxx\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O15 - Trusted Zone: *.p0rt2.com
O15 - Trusted Zone: http://secure.gestrip.com (HKLM)
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase3401.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Hallo,

Zitat:

ich wurde Opfer der .wmf lücke und

dass es schon seit geraumer Zeit ein Update gibt, weißt du?


Lade dir eScan herunter und entpacke/update das Programm wie beschrieben. Noch nicht scannen.
Lade Spybot Search&Destroy und Ad-Aware herunter, installiere beide Programme und führe jeweils ein Update durch.

Starte den PC im abgesicherten Modus & fix emit HijackThis:

O15 - Trusted Zone: *.p0rt2.com
O15 - Trusted Zone: http://secure.gestrip.com (HKLM)
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resourc...scbase3401.cab (mir nicht bekannt)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll


Lösche dann die Datei C:\WINDOWS\system32\vbsys2.dll.

Scanne mit Spybot S&D und Ad-Aware. Lass alle Probleme beheben. Scanne mit eScan & lösche die gefundene Malware wie beschrieben.

Neustart.

Poste ein neues HjT-Log, ein Silent-Runners-Logfile und die Ergebnisse von eScan (Fußnote [5]).

Hallo Haui45,

vielen Dank für die umgehende Antwort. Ich werde jetzt erstmal zu tun haben.

Ich habe den .wmf update seit erscheinen aber wurde leider bereits an Silvester von einer mail mit foto getroffen. Spybot habe ich bereits seit langem (letzter update 6.1.06), hat aber ausser Tracking cookies in 2 Jahren nie etwas bei mir gefunden. Mirar.exe habe ich durch einen online scan von symantec gefunden und einfach das exe file gelöscht.

Warum muss ich die
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
löschen, die sehen so offiziell nach Microsoft und symantec aus?

Warum muss ich vbsys2.dll löschen, brauch ich die nicht mehr?

Viele fragen eines windowslaien ich weiss. bin aber sehr dankbar für Deine Hilfe.

fritze2

Zitat:

Zitat von fritze2

Warum muss ich die
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
löschen, die sehen so offiziell nach Microsoft und symantec aus?

Weil die mir mit reingerutscht sind, sorry
Es wäre aber nichts weiter passiert, alle O16-Einträge sind entbehrlich/ersetzbar.

Zitat:

Warum muss ich vbsys2.dll löschen, brauch ich die nicht mehr?

Weil es ein trojanisches Pferd ist
-> http://www.sophos.com/virusinfo/anal...adclickaz.html

Hallo Haui45

da bin ich wieder und mein laptop ist auch schon fast wieder der alte, keine

popups und Umleitungen mehr. ich bin allerdings sehr desillusioniert nach

dieser Erfahrung mit meinen alten Abwehrsystemen. Aber der Reihe nach:


Spybot und Adaware haben nichts gefunden, ich hatte allerdings Cookies und

tempdateien vorher gelöscht.


Hier ist der Virenlog von Mwav


Wed Jan 18 18:08:13 2006 => Scanning File C:\WINDOWS\system32\mshlpa.exe
Wed Jan 18 18:08:13 2006 => File C:\WINDOWS\system32\mshlpa.exe infected by

"Trojan-Downloader.Win32.Mediket.br" Virus! Action Taken: No Action Taken

Wed Jan 18 21:44:41 2006 => File C:\Dokumente und

Einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1bb10264-7fd31125.zip infected by "Exploit.Java.ByteVerify" Virus!

Action Taken: No Action Taken.

Wed Jan 18 21:44:51 2006 => File C:\Dokumente und

Einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\stat.zip-2a9adc64-2311fb03.zip infected by "Trojan.Java.Nocheat" Virus! Action

Taken: No Action Taken.

mshpla.exe konnte ich ohne Probleme in den Papierkorb befördern und endgültig entfernen. Die anderen beiden files habe ich gefunden aber noch nicht versucht zu löschen, da sie sich in mir unbekannten systemtiefen befinden und ich Angst habe irgendetwas zu zerstören. Wenn Du mir das ok gibst werde ich sie auch in den Papierkorb befördern.

Weiterhin wurden einige files in der symantec Quarantäne gefunden, welche ich direkt aus Norton Antivirus löschte.

In der registry habe ich 140! Einträge vom Typ:

"HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ActiveData.dll". Action Taken: No Action Taken.

Was soll ich mit denen machen? Angeblich sind sie nicht critical.

Silent runner


Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Sonic RecordNow!" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"BCMSMMSG" = "BCMSMMSG.exe" ["Broadcom Corporation"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Apoint" = "C:\Programme\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."]
"Dell QuickSet" = "C:\Programme\Dell\QuickSet\quickset.exe" [empty string]
"PRONoMgr.exe" = "C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe" ["Intel(R)

Corporation"]
"DVDSentry" = "C:\WINDOWS\System32\DSentry.exe" ["Dell - Advanced Desktop

Engineering"]
"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]
"StorageGuard" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update

Manager\sgtray.exe" /r" ["Sonic Solutions"]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe""

["Symantec Corporation"]
"ccRegVfy" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe""

["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer"

["Symantec Corporation"]
"Zone Labs Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone

Labs, LLC"]
"OrderReminder" =

"C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe"

["Hewlett-Packard"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class"

[from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = "DriveLetterAccess" [from

CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll"

["Sonic Solutions"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton

AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für

Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für

HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll"

["Hilgraeve, Inc."]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {CLSID}\InProcServer32\(Default) =

"C:\WINDOWS\System32\btneighborhood.dll" [empty string]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) =

"C:\Programme\Sonic\RecordNow!\shlext.dll" ["Sonic Solutions"]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll"

["Sonic Solutions"]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Eigene Telefone"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sony

Ericsson\Mobile\File Manager\fmgrgui.dll" ["Teleca Software Solutions AB"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll"

[null data]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll"

[MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! Sebring\DLLName = "C:\WINDOWS\System32\LgNotify.dll"

["Intel Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) =

"{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton

AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll"

[null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll"

[null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) =

"{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton

AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll"

[null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\dell.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


DESKTOP.INI DLL launch in local fixed drive directories:
--------------------------------------------------------

C:\Programme\Dell\Bluetooth Software\Bluetooth-Umgebung\DESKTOP.INI
[.ShellClassInfo]
CLSID={6af09ec9-b429-11d4-a1fb-0090960218cb}
-> {CLSID}\InProcServer32\(Default) =

"C:\WINDOWS\System32\btneighborhood.dll" [empty string]


Startup items in "xxx" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat

7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"BTTray" -> shortcut to: "C:\Programme\Dell\Bluetooth Software\BTTray.exe"

[empty string]
"GetRight - Tray Icon" -> shortcut to: "C:\Programme\GetRight\getright.exe"

["Headlight Software, Inc."]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Meinen Computer prüfen" -> launches:

"C:\PROGRA~1\NORTON~1\NAVW32.exe

/task:C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca"

["Symantec Corporation"]
"Symantec NetDetect" -> launches:

"C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5

\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\

Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton

AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton

AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll"

[file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Bluetooth Service, btwdins, "C:\Programme\Dell\Bluetooth

Software\bin\btwdins.exe" [empty string]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton

AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
RegSrvc, RegSrvc, "C:\WINDOWS\System32\RegSrvc.exe" ["Intel Corporation"]
Spectrum24 Event Monitor, S24EventMonitor, "C:\WINDOWS\System32\S24EvMon.exe"

["Intel Corporation "]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
SymWMI Service, SymWSC, ""C:\Programme\Gemeinsame Dateien\Symantec

Shared\Security Center\SymWSC.exe"" ["Symantec Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

-service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" [empty string]
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]
HPLJ1020LM\Driver = "ZLhp1020.DLL" ["Zenographics, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 42 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 6 seconds.
---------- (total run time: 71 seconds)

Hier verstehe ich nun gar nichts mehr, habe nur die zwei infection warnings

gesehen, welche vielleicht erklären warum die windows bild- und faxanzeige

noch nicht wieder funktioniert.

Vielen Dank fuer Eure enorme Hilfe wie ich auch aus den anderen threads sehe.

fritze2

Bitte poste die Ergebnisse von eScan mit der Find.bat.

Hast du die Absätze in das Silent Runners-Logfile eingefügt? Wenn ja, poste es nochmals. Wenn nein, poste es bitte als Anhang. So wie es oben ist, kann man es kaum auswerten...

Hallo Haui45,

ich habe die neueste Version 8.1 von escan heruntergeladen, welche leicht von der von Dir beschriebenen abweicht. Kein.rar file nehr sondern gleich ein .exe file. Es wird keine find.bat mehr mitgeliefert. Ich habe deshalb die Alternative gewählt und mit markieren/kopieren die 3 treffer in meine Nachricht eingefügt.

Ich habe keine Absätze in den silent runner eingefügt, habe jetzt einen Anhang gemacht, bin mir aber nicht sicher ob er mitgekommen ist.

Fritze

Zitat:

welche leicht von der von Dir beschriebenen abweicht. Kein.rar file nehr sondern gleich ein .exe file.

Nein, die mwav.exe kannst du auch mit einem geeigneten Packprogramm entpacken (selbstextrahierendes Archiv), aber egal...
-> s. Fußnote [2]

Zitat:

Es wird keine find.bat mehr mitgeliefert

Die wurde noch nie mitgeliefert, da sie nicht von MWTI stammt, sondern von meiner Wenigkeit
-> Link & BEschreibung s. Fußnote [5]
Also runterladen und ausführen. Die mwav.log wird automatisch gesucht.

Hallo Haui45,

ich habe noch einmal ganz von vorne angefangen.

1. Alle cookies und temps gelöscht.

2. Check mit meinem eigenen Norton Antivirus (mit Virendefinitionen vom 18.1.), welcher behauptet dass keine Viren auf dem PC sind.

3. Spybot mit update vom 20.1. ohne Befund.

4. Ad-aware mit update vom 20.1. ohne Befund.

5. E-scan mit 3 Treffern (siehe escan_neu.txt)

6. Silent Runner (siehe startup), hier habe ich etwas gesehen, infection warning, weiss aber nicht was es bedeutet.

7. Hijackthis, siehe neuer log.

Was schlägst Du zum weiteren Vorgehen vor?

Wie immer vielen Dank

Fritze2

Du solltest noch den Java-Cache leeren. Ansonsten kann ich nichts auffälliges mehr finden.

Wegen der Windows Bild- und Faxanzeige kannst du mal folgendes probieren:

Zitat:

Start ==> Ausführen ==> regsvr32 shimgvw.dll

Quelle: http://www.winfaq.de/faq_html/tip1315.htm

Hallo Haui45

Bingo! Fax und Bildvorschau funktionieren wieder.

Vielen Dank!

Ich habe jetzt aber noch einen Haufen Fragen.

Wie leere ich meinen java cache?

Kann ich die drei von e-scan gefundenen Infekte einfach löschen?

Warum hat mein Norton diese drei Viren nicht gefunden und ebensowenig andere Viren welche ich bereits vorher auf Vorschlag von e-scan löschte oder die von Dir gefundene vbsys2.dll?

Was ist mit der Meldung:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! Sebring\DLLName = "C:\WINDOWS\System32\LgNotify.dll" ["Intel Corporation"] aus dem Silentrunner?

Kannst du mir ein "Reinigungsprogramm" für meine Registry empfehlen nachdem der mwav.log, bzw. e-scan (Sun Jan 22 03:26:22 2006 => Total Errors: 152) soviele Fehler in selbiger fanden?

Nochmals vielen Dank für Deine grossartige Hilfe.


Fritze2

Zitat:

Zitat von fritze2

Wie leere ich meinen java cache?

Systemsteuerung-> Java-> "Dateien löschen" o.ä.

Zitat:

Kann ich die drei von e-scan gefundenen Infekte einfach löschen?

Die sitzen im Java-Cache und ja, die kannst du einfach löschen.

Zitat:

Warum hat mein Norton diese drei Viren nicht gefunden und ebensowenig andere Viren welche ich bereits vorher auf Vorschlag von e-scan löschte oder die von Dir gefundene vbsys2.dll?

Das kann viele Gründe haben, z.B.

• Alte NAV-Version mit schwacher Engine.
• Veraltete Definitionsdateien.
• Aktive Malware hat NAV beeinträchtigt.

etc...
Aber mal von NAV abgesehen hätte dir das mit jedem Virenscanner passieren können.

Zitat:

Was ist mit der Meldung:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! Sebring\DLLName = "C:\WINDOWS\System32\LgNotify.dll" ["Intel Corporation"] aus dem Silentrunner?

Harmlos, siehe
http://castlecops.com/o20list-20.html
http://www.liutilities.com/products/...rary/igfxsrvc/

Zitat:

Kannst du mir ein "Reinigungsprogramm" für meine Registry empfehlen nachdem der mwav.log, bzw. e-scan (Sun Jan 22 03:26:22 2006 => Total Errors: 152) soviele Fehler in selbiger fanden?

Um die Registry zu bereinigen verwende ich persönlich RegSeeker.
Allerdings würde ich nicht allzu viel auf diese Meldungen von eScan geben...

Zitat:

Nochmals vielen Dank für Deine grossartige Hilfe.

Bitte, gern geschehen.


P.S.:
Für die Zukunft, solltest du dein System vernünftig konfigurieren und absichern.
Tipps dazu findest du u.a auf http://www.cidres-security.de oder http://malware.derbilk.de