Problem mit HiJackern

Tiya · 28.02.2006, 12:29

mein problem:
hab anscheinend einen hijacker aufm pc drauf und hab jetzt keine ahnung wie man des wieder entfernt, bzw. ich würd es gern ohne völlige neupartiionierung des pc schaffen
allerdings habsch keine ahnung wie ich das jetz anstellen soll (bin ja schon froh das ich das problem jetzt beim namen nennen kann)
naja ich hab
ad-aware rüber laufen lassen: der meldet nur diverse tracking cookies
nortenantivirus findet gar nichts
und outpost firewall findet unter systhem_32: sec drop und downloader ruin (als spyware)
Wäre für Tipps dankbar...

JayP · 28.02.2006, 14:09

Hallo,
poste bitte mal ein Hijack THis Log.

Tiya · 28.02.2006, 15:24

Logfile of HijackThis v1.99.1
Scan saved at 15:22:18, on 28.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\acs.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\HHVcdV6Sys\VC6Play.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\JS Pager\JSPager.exe
C:\Programme\Virtual CD v6\System\VC6Tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
L:\Johanna\Eikaramba\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump

s_startup
O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - Startup: JS Pager Virtual Desktop.lnk = C:\Programme\JS Pager\JSPager.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG311T Wireless Assistant.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://www.bluelashes.net
O15 - Trusted Zone: http://www.contagiouz.org
O15 - Trusted Zone: http://www.radioblogclub.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{142F9B5A-BCEB-42BC-93C4-E606A9543932}: NameServer = 85.255.115.82,85.255.112.191
O17 - HKLM\System\CCS\Services\Tcpip\..\{438774B9-B14A-4B3D-8498-9C6054065A47}: NameServer = 85.255.115.82,85.255.112.191
O17 - HKLM\System\CS1\Services\Tcpip\..\{142F9B5A-BCEB-42BC-93C4-E606A9543932}: NameServer = 85.255.115.82,85.255.112.191
O17 - HKLM\System\CS2\Services\Tcpip\..\{142F9B5A-BCEB-42BC-93C4-E606A9543932}: NameServer = 85.255.115.82,85.255.112.191
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe

Sabina · 28.02.2006, 16:05

Tiya

da scheint der Wareout am Werk zu sein.....
http://virus-protect.org/artikel/spyware/idemlog.html
http://virus-protect.org/artikel/spyware/idemlog2.html

mit diesem Tool hast du dir den PC verseucht:
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{142F9B5A-BCEB-42BC-93C4-E606A9543932}: NameServer = 85.255.115.82,85.255.112.191

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> kopiere sie hier

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Tiya · 28.02.2006, 17:09

ich soll jetz hier die gesamten logs posten?

1. C:\WINNT\system32

28.02.2006 16:27 43.573 nvapps.xml
28.02.2006 11:39 238.352 FNTCACHE.DAT
20.02.2006 15:31 43.520 CmdLineExt03.dll
18.02.2006 13:25 0 asfds
17.02.2006 18:28 0 z16.exe
17.02.2006 18:28 0 z15.exe
17.02.2006 18:28 0 z14.exe
17.02.2006 18:28 0 z13.exe
17.02.2006 18:28 0 z11.exe
17.02.2006 18:28 0 z12.exe
17.02.2006 18:27 0 paytime.exe
17.02.2006 18:27 8.621 cmd32.exe
10.02.2006 09:17 16.384 Perflib_Perfdata_348.dat
02.02.2006 16:47 16.384 Perflib_Perfdata_33c.dat
28.01.2006 18:45 300.378 perfh009.dat
28.01.2006 18:45 38.036 perfc009.dat
28.01.2006 18:45 289.156 perfh007.dat
28.01.2006 18:45 46.232 perfc007.dat
28.01.2006 18:45 678.314 PerfStringBackup.INI
23.01.2006 15:36 429 datFind.bat
18.01.2006 18:35 49.152 cdrtc.dll
18.01.2006 18:35 45.056 cdral.dll
15.01.2006 18:02 16.832 amcompat.tlb
15.01.2006 18:02 23.392 nscompat.tlb
15.01.2006 17:45 278.528 pncrt.dll
06.01.2006 20:07 316 results.txt
06.01.2006 19:27 2.171 spupdsvc.log
06.01.2006 19:27 314 spupdw2k.log
06.01.2006 17:18 2.951 CONFIG.NT
06.01.2006 17:18 21.817 folder.htt
06.01.2006 17:18 271 desktop.ini
06.01.2006 17:17 525 mapisvc.inf
06.01.2006 17:17 15.076 emptyregdb.dat
06.01.2006 16:57 303.354 PerfStringBackup_001.INI
06.01.2006 16:56 301 $winnt$.inf
30.12.2005 08:15 233.744 GDI32.DLL
19.12.2005 19:30 4.730.880 wmp.dll
10.12.2005 04:16 180.224 NVUNINST.EXE
10.12.2005 03:06 294.912 nvwrsda.dll
10.12.2005 03:06 16.356 nvdisp.nvu
10.12.2005 03:06 245.760 nvrsda.dll
10.12.2005 03:06 270.336 nvrsde.dll
10.12.2005 03:06 274.432 nvrsel.dll
10.12.2005 03:06 241.664 nvrseng.dll
10.12.2005 03:06 274.432 nvrses.dll
10.12.2005 03:06 266.240 nvrsesm.dll
10.12.2005 03:06 241.664 nvrsfi.dll
10.12.2005 03:06 278.528 nvrsfr.dll
10.12.2005 03:06 319.488 nvrshe.dll
10.12.2005 03:06 253.952 nvrshu.dll
10.12.2005 03:06 81.920 nvwddi.dll
10.12.2005 03:06 274.432 nvrsit.dll
10.12.2005 03:06 258.048 nvrsja.dll
10.12.2005 03:06 253.952 nvrsko.dll
10.12.2005 03:06 1.019.904 nvwimg.dll
10.12.2005 03:06 266.240 nvrsnl.dll
10.12.2005 03:06 282.624 nvwrsar.dll
10.12.2005 03:06 249.856 nvrsno.dll
10.12.2005 03:06 286.720 nvwrscs.dll
10.12.2005 03:06 249.856 nvrspl.dll
10.12.2005 03:06 311.296 nvwrsde.dll
10.12.2005 03:06 266.240 nvrspt.dll
10.12.2005 03:06 262.144 nvrsptb.dll
10.12.2005 03:06 319.488 nvwrsnl.dll
10.12.2005 03:06 262.144 nvrsru.dll
10.12.2005 03:06 425.984 keystone.exe
10.12.2005 03:06 249.856 nvrssk.dll
10.12.2005 03:06 249.856 nvrssl.dll
10.12.2005 03:06 245.760 nvrssv.dll
10.12.2005 03:06 319.488 nvrsar.dll
10.12.2005 03:06 5.402.624 nvoglnt.dll
10.12.2005 03:06 249.856 nvrstr.dll
10.12.2005 03:06 286.720 nvnt4cpl.dll
10.12.2005 03:06 217.088 nvrszhc.dll
10.12.2005 03:06 294.912 nvwrspl.dll
10.12.2005 03:06 442.368 nvappbar.exe
10.12.2005 03:06 323.584 nvwrspt.dll
10.12.2005 03:06 86.016 nvmctray.dll
10.12.2005 03:06 45.056 nvmccsrs.dll
10.12.2005 03:06 229.376 nvmccs.dll
10.12.2005 03:06 1.466.368 nview.dll
10.12.2005 03:06 118.784 nvrszht.dll
10.12.2005 03:06 573.440 nvhwvid.dll
10.12.2005 03:06 466.944 nvshell.dll
10.12.2005 03:06 131.139 nvsvc32.exe
10.12.2005 03:06 1.339.392 nvdspsch.exe
10.12.2005 03:06 73.728 nvtuicpl.cpl
10.12.2005 03:06 299.008 nvwrsno.dll
10.12.2005 03:06 7.311.360 nvcpl.dll
10.12.2005 03:06 180.224 nvudisp.exe
10.12.2005 03:06 147.456 nvcolor.exe
10.12.2005 03:06 35.840 nvcodins.dll
10.12.2005 03:06 35.840 nvcod.dll
10.12.2005 03:06 278.528 nvwrshe.dll
10.12.2005 03:06 1.662.976 nvwdmcpl.dll
10.12.2005 03:06 303.104 nvwrstr.dll
10.12.2005 03:06 299.008 nvwrssk.dll
10.12.2005 03:06 3.955.456 nv4_disp.dll
10.12.2005 03:06 163.840 nvwrszhc.dll
10.12.2005 03:06 319.488 nvwrsptb.dll
10.12.2005 03:06 335.872 nvwrsel.dll
10.12.2005 03:06 286.720 nvwrseng.dll
10.12.2005 03:06 303.104 nvwrssl.dll
10.12.2005 03:06 335.872 nvwrses.dll
10.12.2005 03:06 167.936 nvwrszht.dll
10.12.2005 03:06 327.680 nvwrsesm.dll
10.12.2005 03:06 110.592 nvapi.dll
10.12.2005 03:06 303.104 nvwrsfi.dll
10.12.2005 03:06 1.519.616 nwiz.exe
10.12.2005 03:06 212.992 nvwrsja.dll
10.12.2005 03:06 327.680 nvwrsfr.dll
10.12.2005 03:06 294.912 nvwrssv.dll
10.12.2005 03:06 196.608 nvwrsko.dll
10.12.2005 03:06 241.664 nvrscs.dll
10.12.2005 03:06 315.392 nvwrshu.dll
10.12.2005 03:06 323.584 nvwrsit.dll
10.12.2005 03:06 315.392 nvwrsru.dll

2.C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
28.02.2006 16:51 512 ~DF7E0B.tmp
28.02.2006 16:50 512 ~DF5A8A.tmp
28.02.2006 16:49 43.022 ~WRS0002.tmp
28.02.2006 16:41 512 ~DF934A.tmp
4 Datei(en) 44.558 Bytes
0 Verzeichnis(se), 34.584.477.696 Bytes frei

3. C:\WINNT
28.02.2006 16:27 1.044 ODBC.INI
28.02.2006 16:26 49 transp.gif
28.02.2006 16:24 918.120 ShellIconCache
28.02.2006 11:42 1.116 KB899589Uninst.log
28.02.2006 11:42 199.561 iis5.log
28.02.2006 11:42 1.428 imsins.log
28.02.2006 11:42 92.681 comsetup.log
28.02.2006 11:41 66.089 ocgen.log
28.02.2006 11:41 4.724 ockodak.log
28.02.2006 11:38 30.160 SchedLgU.Txt
28.02.2006 11:38 1.428 imsins.BAK
28.02.2006 11:38 2.432 KB896424Uninst.log
27.02.2006 10:55 1.821 spupdsvc.log
27.02.2006 10:50 6.692 KB911564.log
27.02.2006 10:47 8.017 KB908523.log
27.02.2006 10:46 7.993 KB900725.log
27.02.2006 10:45 9.642 updspapi.log
27.02.2006 10:44 5.595 KB905749.log
27.02.2006 10:42 5.389 KB899589.log
27.02.2006 10:41 5.708 KB905414.log
27.02.2006 08:43 438 win.ini
25.02.2006 07:59 467.585 setupapi.log
23.02.2006 21:29 18.135 KB904706.log
23.02.2006 21:28 20.640 KB902400.log
23.02.2006 21:27 10.949 KB896424.log
23.02.2006 21:27 10.496 KB905915-IE6SP1-20051122.175908.log
23.02.2006 21:26 7.066 KB912919.log
23.02.2006 21:26 5.215 KB908519.log
23.02.2006 21:26 7.673 KB911565.log
20.02.2006 19:14 173.099 wmsetup.log
17.02.2006 18:27 0 ms1.exe
17.02.2006 18:27 0 tool4.exe
17.02.2006 18:27 0 tool3.exe
17.02.2006 18:27 0 tool1.exe
17.02.2006 18:27 0 toolbar.exe
17.02.2006 18:27 0 country.exe
17.02.2006 18:27 0 tool2.exe
17.02.2006 18:27 0 kl1.exe
17.02.2006 18:27 5.613 loadnew.exe
17.02.2006 18:27 8.621 loadclean.exe
17.02.2006 18:27 0 uniq
17.02.2006 18:27 5.613 3bg8bjwn.exe
17.02.2006 17:59 280 Windows Update.log
05.02.2006 10:35 524.288 Go2sleep Screensaver !.scr
05.02.2006 10:35 12.288 impborl.dll
23.01.2006 15:36 429 datFind.bat
21.01.2006 19:12 23 wininit.ini
18.01.2006 16:42 259 system.ini
15.01.2006 17:48 57.344 uneng.exe
15.01.2006 17:47 316.640 WMSysPr9.prx
15.01.2006 16:50 156.910 WMSysPr8.prx
14.01.2006 20:13 96.965 DirectX.log
14.01.2006 12:50 10.868 hhdrvi.log
14.01.2006 10:36 0 VPC32.INI
13.01.2006 23:24 59 vbaddin.ini
07.01.2006 21:47 105 AMS2INST.LOG
06.01.2006 20:54 8.192 REGLOCS.OLD
06.01.2006 20:52 1.514 OEWABLog.txt
06.01.2006 20:50 12.699 Active Setup Log.txt
06.01.2006 19:26 200.210 svcpack.log
06.01.2006 19:24 344 msmqprop.log
06.01.2006 19:24 180 sptsupd.log
06.01.2006 18:51 0 Bootus.INI
06.01.2006 17:33 0 Sti_Trace.log
06.01.2006 17:32 209.495 setuplog.txt
06.01.2006 17:32 106.380 setupact.log
06.01.2006 17:18 0 control.ini
06.01.2006 17:18 4.073 ODBCINST.INI
06.01.2006 17:18 21.817 folder.htt
06.01.2006 17:18 271 desktop.ini
06.01.2006 17:17 408 COM+.log
06.01.2006 17:17 36 vb.ini
06.01.2006 17:01 39 ModemDet.txt
06.01.2006 17:01 686 mmdet.log
06.01.2006 16:56 0 setuperr.log

Verzeichnis von C:\

28.02.2006 16:55 0 sys.txt
28.02.2006 16:55 6.246 system.txt
28.02.2006 16:54 460 systemtemp.txt
28.02.2006 16:54 91.323 system32.txt
28.02.2006 16:26 805.306.368 pagefile.sys
23.02.2006 21:35 0 asfds
23.01.2006 15:36 429 datFind.bat
13.01.2006 21:31 0 checkfw.log
07.01.2006 21:48 6.174 _NavCClt.Log
06.01.2006 19:23 216.096 ntldr
06.01.2006 19:23 34.724 NTDETECT.COM
06.01.2006 17:18 0 AUTOEXEC.BAT
06.01.2006 17:18 0 IO.SYS
06.01.2006 17:18 0 CONFIG.SYS
06.01.2006 17:18 0 MSDOS.SYS
06.01.2006 17:09 192 boot.ini
19.06.2003 12:05 163.840 arcsetup.exe
19.06.2003 12:05 150.528 arcldr.exe
18 Datei(en) 805.976.380 Bytes

Blacklight:

02/28/06 16:18:10 [Info]: BlackLight Engine 1.0.33 initialized
02/28/06 16:18:10 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/28/06 16:18:10 [Note]: 7019 4
02/28/06 16:18:10 [Note]: 7005 0
02/28/06 16:18:21 [Note]: 7006 0
02/28/06 16:18:21 [Note]: 7011 1108
02/28/06 16:18:22 [Note]: FSRAW library version 1.7.1015
02/28/06 16:18:41 [Info]: Hidden file: C:\WINNT\system32\wbem\wbemtest.exe
02/28/06 16:18:41 [Note]: 10002 1
02/28/06 16:18:45 [Info]: Hidden file: C:\WINNT\system32\csajr.exe
02/28/06 16:18:45 [Note]: 7002 32
02/28/06 16:18:45 [Note]: 7003 1
02/28/06 16:18:45 [Note]: 10002 1
02/28/06 16:18:46 [Info]: Hidden file: C:\WINNT\system32\dmkhf.exe
02/28/06 16:18:46 [Note]: 7002 32
02/28/06 16:18:46 [Note]: 7003 1
02/28/06 16:18:46 [Note]: 10002 1
02/28/06 16:18:47 [Info]: Hidden file: C:\WINNT\system32\favset.exe
02/28/06 16:18:47 [Note]: 10002 1
02/28/06 16:18:47 [Info]: Hidden file: C:\WINNT\system32\filesafer23.exe
02/28/06 16:18:47 [Note]: 10002 1
02/28/06 16:18:48 [Info]: Hidden file: C:\WINNT\system32\howiper.exe
02/28/06 16:18:48 [Note]: 10002 1
02/28/06 16:18:49 [Info]: Hidden file: C:\WINNT\system32\jbqus.exe
02/28/06 16:18:49 [Note]: 7002 32
02/28/06 16:18:49 [Note]: 7003 1
02/28/06 16:18:49 [Note]: 10002 1
02/28/06 16:19:06 [Note]: 7007 0

Sabina · 28.02.2006, 17:35

Tiya
*
SmitRem2.8 (lade, entpacke auf dem Desktop)
http://noahdfear.geekstogo.com/click...click.php?id=1

*
Gehe in die Registry
Start-->Ausfuehren--> regedit

bearbeiten--> suchen --> UnSpyPC

HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC <--loeschen
HKEY_CURRENT_USER\Software\UnSpyPC <--loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC <--loeschen

*
damit wird die kompromitierte TCP-Internetverbindung ausgeloescht...du musst nach Neustart eine neue erstellen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked--> lasse das HijackThis geoeffnet

O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{142F9B5A-BCEB-42BC-93C4-E606A9543932}: NameServer = 85.255.115.82,85.255.112.191
O17 - HKLM\System\CCS\Services\Tcpip\..\{438774B9-B14A-4B3D-8498-9C6054065A47}: NameServer = 85.255.115.82,85.255.112.191
O17 - HKLM\System\CS1\Services\Tcpip\..\{142F9B5A-BCEB-42BC-93C4-E606A9543932}: NameServer = 85.255.115.82,85.255.112.191
O17 - HKLM\System\CS2\Services\Tcpip\..\{142F9B5A-BCEB-42BC-93C4-E606A9543932}: NameServer = 85.255.115.82,85.255.112.191

--------------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINNT\system32\asfds
C:\WINNT\system32\z16.exe
C:\WINNT\system32\z15.exe
C:\WINNT\system32\z14.exe
C:\WINNT\system32\z13.exe
C:\WINNT\system32\z11.exe
C:\WINNT\system32\z12.exe
C:\WINNT\system32\paytime.exe
C:\WINNT\system32\cmd32.exe
C:\WINNT\transp.gif
C:\WINNT\ms1.exe
C:\WINNT\tool4.exe
C:\WINNT\tool3.exe
C:\WINNT\tool1.exe
C:\WINNT\toolbar.exe
C:\WINNT\country.exe
C:\WINNT\tool2.exe
C:\WINNT\kl1.exe
C:\WINNT\loadnew.exe
C:\WINNT\loadclean.exe
C:\WINNT\uniq
C:\WINNT\3bg8bjwn.exe
C:\asfds
C:\WINNT\system32\csajr.exe
C:\WINNT\system32\dmkhf.exe
C:\WINNT\system32\favset.exe
C:\WINNT\system32\filesafer23.exe
C:\WINNT\system32\howiper.exe
C:\WINNT\system32\jbqus.exe

PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

*
nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

*
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

*
deinstallieren und alles loeschen vom Programm
C:\Programme\UnSpyPC
C:\Programme\BearShare
---------------------------------------------------------------------------------
wieder im Normalmodus

*
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

*
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten

*
Counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
----------------------------------------------------------------------------------
*
kopiere hier das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

Tiya · 28.02.2006, 22:06

ich finde in der regisrty die angegebenen files nicht
(HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC
HKEY_CURRENT_USER\Software\UnSpyPC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\UnSpyPC)
das einzige das durch die suche gefunden wird ist:
(name:UnspyPc Typ: reg_sz Wert:"C:\Programme\UnSpyPC\UnSpyPC.exe")
auch löschen? ^^
und noch ne frage... wurde diese UnSpyPc durch Bearshare mitinstalliert?
Vielen Dank für die Hilfe

Sabina · 01.03.2006, 10:57

1.loesche in der Registry , was du findest von UnSpyPC
2. ob das Faketool durch Bearshare mitinstalliert wurde, nehme ich an.
Mit P2P-Programmen ist man auf dem besten Weg , sein System unbrauchbar zu machen.

Tiya · 01.03.2006, 13:09

Scan Report CounterSpy:
Detected spyware

BearShare P2P more information...
Details: BearShare is a file sharing network. The free version installs a number of known spyware and adware programs.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library

WhenU.SaveNow Adware more information...
Details: an advertising application that displays pop-up advertising on the desktop in response to users' surfing behavior.
Status: Quarantined

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\wusn.1
HKEY_LOCAL_MACHINE\software\classes\wusn.1 WUSN_Id
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_CLASSES_ROOT\wusn.1
HKEY_CLASSES_ROOT\wusn.1 WUSN_Id
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class

WhenU.WhenUSearch Low Risk Adware more information...
Details: a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism.
Status: Quarantined

Infected registry entries detected
HKEY_CLASSES_ROOT\WUSN.1
HKEY_CLASSES_ROOT\WUSN.1 WUSN_Id

Hab hier nur die Infected Files von bearshare gelöscht, die 2 anderen sind erst mal in Quarantäne

Silent Runner:
"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"Yahoo! Pager" = "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AudioDeck" = "C:\Programme\VIAudioi\SBADeck\ADeck.exe 1" [file not found]
"vptray" = "C:\Programme\NavNT\vptray.exe" ["Symantec Corporation"]
"Outpost Firewall" = "C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice" ["Agnitum Ltd."]
"OutpostFeedBack" = "C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump

s_startup" ["Agnitum Ltd."]
"VC6Player" = "C:\Programme\HHVcdV6Sys\VC6Play.exe" ["H+H Software GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"]
"dmcoz.exe" = "C:\WINNT\system32\dmcoz.exe" [null data]
"jbfqy.exe" = "C:\WINNT\system32\jbfqy.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Zugang zu Outlook Express"
\StubPath = ""C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]

Sabina · 01.03.2006, 14:03

Zitat:

"dmcoz.exe" = "C:\WINNT\system32\dmcoz.exe" [null data]
"jbfqy.exe" = "C:\WINNT\system32\jbfqy.exe" [null data]

das Log vom Silentrunner ist nicht komplett....
Die Option "Supplementary Searches" waehlen

Tiya · 01.03.2006, 14:40

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"Yahoo! Pager" = "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AudioDeck" = "C:\Programme\VIAudioi\SBADeck\ADeck.exe 1" [file not found]
"vptray" = "C:\Programme\NavNT\vptray.exe" ["Symantec Corporation"]
"Outpost Firewall" = "C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice" ["Agnitum Ltd."]
"OutpostFeedBack" = "C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump

s_startup" ["Agnitum Ltd."]
"VC6Player" = "C:\Programme\HHVcdV6Sys\VC6Play.exe" ["H+H Software GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"]
"dmcoz.exe" = "C:\WINNT\system32\dmcoz.exe" [null data]
"jbfqy.exe" = "C:\WINNT\system32\jbfqy.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Zugang zu Outlook Express"
\StubPath = ""C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79300-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]
"{E0D79301-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]
"{E0D79302-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll" ["Agnitum Ltd."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csxtr.exe" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! NavLogon\DLLName = "C:\WINNT\system32\NavLogon.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ASW\(Default) = "{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Agnitum\Outpost Firewall\op_shell.dll" ["Agnitum Ltd."]
LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ASW\(Default) = "{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Agnitum\Outpost Firewall\op_shell.dll" ["Agnitum Ltd."]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ASW\(Default) = "{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Agnitum\Outpost Firewall\op_shell.dll" ["Agnitum Ltd."]
LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
WinZip\(Default) = "{E0D79300-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WinZip\wzshlext.dll" [null data]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINNT\Desktop-Hintergrundbild 2.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\GO2SLE~1.SCR" (Go2sleep Screensaver !.scr) ["ScreenTime Media"]

Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
"JS Pager Virtual Desktop" -> shortcut to: "C:\Programme\JS Pager\JSPager.exe" [empty string]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader Speed Launch" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"NETGEAR WG311T Wireless Assistant" -> shortcut to: "C:\Programme\NETGEAR\WG311T\wlancfg5.exe /HIDE" [empty string]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{A1A7E22D-1587-4230-8F16-081C68D21448}\ = "Outpost Firewall Pro Quick Tune"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll" ["Agnitum Ltd."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{44627E97-789B-40D4-B5C2-58BD171129A1}\
"ButtonText" = "Outpost Firewall Pro Quick Tune"

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe" ["Yahoo! Inc."]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Atheros Configuration Service, ACS, "C:\WINNT\system32\acs.exe" [null data]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
DefWatch, DefWatch, "C:\Programme\NavNT\defwatch.exe" ["Symantec Corporation"]
Intel File Transfer, Intel File Transfer, "C:\WINNT\system32\cba\xfr.exe" ["Intel® Corporation"]
Intel PDS, Intel PDS, "C:\WINNT\system32\cba\pds.exe" ["Intel® Corporation"]
Norton AntiVirus Client, Norton AntiVirus Server, "C:\Programme\NavNT\rtvscan.exe" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Outpost Firewall Service, OutpostFirewall, "C:\Programme\Agnitum\Outpost Firewall\outpost.exe /service" ["Agnitum Ltd."]
Virtual CD v6 Management Service, VC6SecS, "C:\Programme\HHVcdV6Sys\VC6SecS.exe" ["H+H Software GmbH"]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 28 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 12 seconds.
---------- (total run time: 74 seconds)

edit: seh grad da steht auch null data xD

Sabina · 01.03.2006, 14:52

1.
Laden http://virus-protect.org/zip/fixx.zip --> fixx.zip entpacken --> fixx.reg (auf dem Desktop entpacken)

2.
loesche mit der Killbox

C:\WINNT\system32\dmcoz.exe
C:\WINNT\system32\csxtr.exe
C:\WINNT\system32\jbfqy.exe

3.
in den abgesicherten Modus booten --> fixx.reg doppelt klicken und mit "ja" der Registry beifuegen.

4.
scanne mit Kaspersky
http://virus-protect.org/onlinescan.html
und poste den scanreport, dann poste das neue Log vom Hijckthis

Tiya · 01.03.2006, 15:32

Was ist mit den 2 anderen Files bei Counterspy?
achja... und ich konnte das .reg-file nicht hinzufügen es wurde ein error gemeldet: "es handelt sich nicht um eine registry-datei"

soll ich es mal im normal-modus versuchen?

Sabina · 01.03.2006, 16:55

ich habe die reg noch mal ueberarbeitet (und getestet..mein armer PC

Ist sauber und muss das alles ueber sich ergehen lassen

1.
Laden --> http://virus-protect.org/zip/testt.zip

dann berichte

2.

Zitat:

2 anderen Files bei Counterspy?

welche ? Was meinst du ?

3.
mache den onlinescan mit kaspersky

4.
Poste bitte das neue Log vom HijackThis

Tiya · 01.03.2006, 18:11

CounterSpy hat in der Registry neben diversen Registry Entries von Bearshare (die ich dann entfernt habe) auch noch 2 andere Problemfälle gefunden:

WhenU.SaveNow
WhenU.WhenUSearch
(siehe CounterSpy Scanreport)

die hab ich beide mal unter Quarantäne gestellt.

mein problem trat ja bei google auf (wurde da durch klick auf die links zu diversen anderen seiten gelinkt)
das funktioniert jetzt wieder auch wenn ich deine neue reg-datei noch nicht eingspielt habe

der kaspersky online funktioniert (er bleibt bei "Initialize Kaspersky On-line Scanner" hängen)

hier trotzdem mal der neue HiJackThis-Log

Logfile of HijackThis v1.99.1
Scan saved at 18:11:20, on 01.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\acs.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\HHVcdV6Sys\VC6Play.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\JS Pager\JSPager.exe
C:\Programme\Virtual CD v6\System\VC6Tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
L:\Johanna\Eikaramba\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump

s_startup
O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Startup: JS Pager Virtual Desktop.lnk = C:\Programme\JS Pager\JSPager.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG311T Wireless Assistant.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://www.bluelashes.net
O15 - Trusted Zone: http://www.contagiouz.org
O15 - Trusted Zone: http://www.radioblogclub.com
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe

Problem mit HiJackern

Log-Analyse und Auswertung: Problem mit HiJackern