zwei rote bei der Auswertung

bmoebis · 27.09.2006, 13:45

Die Auswertung ergibt 2 rote Einträge, kann ich die bedenkenlos fixen, ohne mein System zum Stillstand zu bringen?
Spyware Doctor (Testversion) hat auch noch was gefunden:
MediaMotor
LZIO Wensearch
Brillant Digital

Wie kann ich die wieder loswerden. Habe bisher nur kommerzielle Programme gefunden, die mit diesen Teilen fertig werden. Gibt es alternative Programme. Wenn es kommerziell sein muss, wer hat ein gutes Preis/Leistungsverhältnis?

Logfile of HijackThis v1.99.1
Scan saved at 14:14:31, on 26.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\Programme\Sygate\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
g:\Programme\Alwil Software\Avast4\aswUpdSv.exe
g:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\Microsoft SQL Server\MSSQL$DBKITA\Binn\sqlservr.exe
G:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\***\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\system32\wdfmgr.exe
G:\Typo_Ubuntu\VMwarePlayer\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
g:\Programme\Alwil Software\Avast4\ashMaiSv.exe
g:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\SOINTGR.EXE
G:\Programme\ZipMagic\zm32NT.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\pupxpman.exe
G:\Programme\PC Booster\pcbooster.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\sistray.EXE
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Teledat\Iwatch.exe
C:\Programme\Teledat\TelWeb32.exe
G:\Programme\OpenOffice.org1.1.0\program\soffice.exe
G:\Programme\OpenOffice2.0\Programm\program\soffice.exe
G:\Programme\OpenOffice2.0\Programm\program\soffice.BIN
C:\VSTASCAN\vsaccess.exe
G:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.de.msn.com/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alltheweb.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - g:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDCatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - G:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - G:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [ZipMagic] G:\Programme\ZipMagic\zm32NT.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\System32\pupxpman.exe
O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\System32\PUPXPTWK.EXE /TWEAK
O4 - HKLM\..\Run: [PC Booster] G:\Programme\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] G:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [OmniPage] G:\Programme\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [eval starter] "G:\Programme\FarStone\VirtualDrive\Eval.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [avast!] g:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [ZipMagic] G:\Programme\ZipMagic\zm32NT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: chkme32.exe.lnk = PLUGINS\chkme32.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = G:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.0.lnk = G:\Programme\OpenOffice2.0\Programm\program\quickstart.exe
O4 - Startup: Termine.lnk = G:\Programme\WinTer\winter.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\Iwatch.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk.disabled
O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
O8 - Extra context menu item: Download &All by FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - G:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .svg: G:\PROGRA~1\Browser\NETSCA~2\Program\PLUGINS\NPSVG3.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.freenet.de
O16 - DPF: {00000000-0000-0000-0000-000020040000} - h**p://207.234.185.217/ABoxInst_int4.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - h**p://cs7b.instantservice.com/jars/customerxsigned35.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - h**p://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4274/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1270564-B62A-42FD-818B-7CD75ED5442A}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - g:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - g:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - g:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - g:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MySql - Unknown owner - F:/wampp13cs/mysql/bin/mysqld-nt.exe
O23 - Service: NMSAccess - Unknown owner - G:\Programme\DeepBurner\Tools\NMSAccess.exe (file missing)
O23 - Service: Prime95 Service - Unknown owner - G:\Programme\Prime95\prime95.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - G:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - G:\Programme\Sygate\smc.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\***\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - G:\Typo_Ubuntu\VMwarePlayer\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Cleriker · 27.09.2006, 14:22

Hey,

noch schnell editiert, damit das problem näher erläutert wird, wa? *g*,
aber welche Einträge sind denn rot?
Ich kann auf den ersten Blick nichts finden.
Oder zeigt er dir diese hier an?

Zitat:

O23 - Service: avast! Mail Scanner - Unknown owner - g:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - g:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

mfg Cleriker

bmoebis · 27.09.2006, 15:39

Ich dachte, wenn ich dies ergänze, ist die Sache vielleicht transparenter und erspart unnötige Rückfragen.

Hier die roten aus der Auswertung:

O4 - Global Startup: Microsoft-Indexerstellung.lnk.disabled
und
O16 - DPF: {00000000-0000-0000-0000-000020040000} - h**p://207.234.185.217/ABoxInst_int4.exe

Es gibt auch ein paar gelbe Auswertungsergebnisse:
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\BURKHARD\LOKALE~1\TEMP\_VWUPSRV.EXE
-- der sollte von AntVir Personal stammen

O23 - Service: Prime95 Service - Unknown owner - G:\Programme\Prime95\prime95.exe (file missing)
-- Da hatte ich vor langer Zeit ein Programm getestet. Kann mich aber nicht mehr erinnern, welches

O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/customerxsigned35.cab
-- das sagt mir nichts

O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
-- sollte von der Teledat Telefonanlage von der Telekom stammen

O4 - Startup: Termine.lnk = G:\Programme\WinTer\winter.exe
-- WinTermin mein PC-Kalender

O4 - Startup: chkme32.exe.lnk = PLUGINS\chkme32.exe
-- Plugin vom E-Mail-Programm PostMe

O4 - HKLM\..\RunServices: [ZipMagic] G:\Programme\ZipMagic\zm32NT.exe
-- Zip-Programm Zip-Magic, dass ich immernoch am liebsten verwende.

O4 - HKLM\..\Run: [eval starter] "G:\Programme\FarStone\VirtualDrive\Eval.exe"
-- Virtuelles Laufwerk

O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
-- Sollte von StarOffice 5 stammen. Muss noch laufen, weil OpenOffice bei einigen alten Dokumenten mit Scripten ein paar kleine Importprobleme hat.

Cleriker · 27.09.2006, 15:56

Hijep,

Zitat:

O4 - Global Startup: Microsoft-Indexerstellung.lnk.disabled

Der Eintrag ist ja selbstredend, die Indexerstellung von Office wahrscheinlich
ist deaktiviert (vielleicht auch von dir selbst). Es ist möglich, dass dein Scanner
sie deshalb rot anzeigt, weil sie auch von Schädlingen deaktiviert werden kann.

Zitat:

O16 - DPF: {00000000-0000-0000-0000-000020040000} - h**p://207.234.185.217/ABoxInst_int4.exe

Oh, da haben wir wohl einen übersehenden Downloader-Trojaner
>>> Also erst mal schnelllllllll mit der Killbox entfernen und wenn du glück hast,
sind noch keine weiteren Trojaner mit auf deinem System.
Lass noch Tools, wie escan rüber laufen um ein Neuaufsetzen zu verhindern.

Edit: Achso...unter diesen Umständen den Index-Eintrag fixen bitte

mfg Cleriker

bmoebis · 28.09.2006, 13:54

Habe die roten gefixt!
Der ist aber hartnäckig, lässt sich nicht per fix entfernen! Muss ich im abgesicherten Modus fixen?
O16 - DPF: {00000000-0000-0000-0000-000020040000} - allerdings ist Eintrag kürzer geworden (vergleiche oben)

Habe verschieden Scans gemacht.
Spybot Search & Destroy: Findet nur (harmlose?) Gebrauchsspuren.
Macht SpywareBot zur Bedrohung.

Ad-Aware se:
Keine kritischen Objekte

SpywareBot:
findet huntbar in search.dat meines E-Mailprogramms PostMe

Avira Antivir Personal Classic:
findet nichts

Avast:
Hat ein paar Kleinigkeiten erfolgreich entfernt.

Spyware Doctor findet diese:
LZIO Wesearch oder Free Community in
HKLM/Software/Microsoft/Internetexplorer/Main##NID

MediaMotor in C:/Windows/system32/objsafe.tld

Brillant Digital in
HKCR\.s3d
HKCR\.s3d##
HKCR\.s3d##\ShellNew
HKCR\.s3d##\ShellNew##
HKCR\.s3d##\ShellNew##NullFile

Wie werde ich die Brüder wieder los?

Cleriker · 28.09.2006, 14:20

Hijep,

schnap dir die Killbox (Link in meiner Sig)
und such dir die Pfade zusammen, die du
entfernen willst.

Hier hast du noch die Liste [ABoxInst_int4.exe], wo die sich alle verstecken.

mfg Cleriker

bmoebis · 28.09.2006, 16:15

Jetzt bin ich unsicher.

Ich lösche also die Verzeichnisse/Dateien wie MediaMotor in C:/Windows/system32/objsafe.tld
und was mache ich mit den Einträgen wie LZIO Wesearch oder Free Community in HKLM/Software/Microsoft/Internetexplorer/Main##NID

Zusätzlich suche und lösche ich ebenfalls mit der Killbox die Dateien, die ich bei Wintotal... unter ABoxInst_int4.exe finde.

Soll ich mit der Killbox suchen oder mit dem Explorer und den Pfad dann in der Killbox eintragen.

Mit dem Explorer habe ich keine der Dateien gefunden obwohl bei mir auch versteckte und Systemdateien angezeigt werden.

Edit: Ich habe da gerade einen merkwürdigen Ordner gefunden mit nichts drin: C:\WINDOWS\system32\²²ￜ²裰矹ᱸ矴診矴֎糍

Cleriker · 28.09.2006, 17:01

Hi,

Um den Ordner kümmern wir uns später, falls nötig.

Mit dem aktivierten Tool Killbox suchst du dir jetzt die Einträge, von
denen du den Pfad hast und selektierst sie nacheinander. Wenn du
alle (die du gefunden hast) im weißen Button drinne stehen hast,
klickst du auf das Häkchen "delete and reboot" und dann auf "all files"
oder wie das hieß.
Nachdem Hochfahren entlehrst du den Papierkorb und den Ordner der Killbox,
wo die gelöschten Files drinne sind.
Anschließend ladest du dir RegFreeze herunter und lässt diesen drüber latschen.
Damit müssten dann auch die restlichen Schlüssel des Trojaners weg sein. Mache
zum Schluss noch ein escan (Link siehe sig) und poste ein weiteres Hijackfile.

mfg Cleriker

bmoebis · 29.09.2006, 11:15

Also ich muss dann mit einer lizensierten Version von Regfreeze nochmal drüber, richtig? Ansonsten sucht Regfreeze ja nur. ER findet auch was undzwar mehrere Schlüssel mit "IamBigBrother", keine Dateien!

Spyware Doctor findet jedoch immer wieder (inzwischen) zwei infizierte Dateien mit dem MediaMotor mit der Endung tld. Nach dem Reboot durch Killbox ausgelöst, sind die schon wieder auffindbar jetzt immer im Ordner c:/System Volume Information/_restore..../A0171015.tld, wobei sich die Nummern immer ändern. Ich kill die dann wieder, aber nach dem reeboot das gleiche Ergebnis. Den Papierkorb und den Killbox-Ordner mache ich natürlich immer wieder leer.

HijackThis zeigt weiter den kritischen Schlüssel O16 - DPF: {00000000-0000-0000-0000-000020040000}

Wird langsam nervig mit mir, was?

Cleriker · 29.09.2006, 12:13

pu,

Zitat:

Wird langsam nervig mit mir, was?

Das liegt aber mehr daran, dass ich dir bisher noch keine
Endlösung bieten konnte.

Wir machen das per Hand.
Also ab in den abgesicherten Modus und ...
Geh über Start > Ausführen > Regedit

Hinweis:
HKLM = HKEY_LOCAL_MASHINE
HKCR = HKEY_CURRENT_USER

Zitat:

HKLM/Software/Microsoft/Internetexplorer/Main##NID
HKCR\.s3d
HKCR\.s3d##
HKCR\.s3d##\ShellNew
HKCR\.s3d##\ShellNew##
HKCR\.s3d##\ShellNew##NullFile

Alle samt per Hand bitte löschen.

Zusätzlich suchst laut der Spywareanalyse von "IamBigBrother "nach folgenden Einträgen:

Zitat:

KEY:HKEY_CLASSES_ROOT\CLSID\{39fda070-61ba-11d2-ad84-00105a17b608}
KEY:HKEY_CLASSES_ROOT\CLSID\{a1eedaa7-c4d8-11d2-ad9c-00105a17b608}
KEY:HKEY_CLASSES_ROOT\CLSID\{ca4fc24b-c65c-11d1-aa6f-000000000000}
KEY:HKEY_CLASSES_ROOT\CLSID\{ddd136ce-517b-11d2-ad03-00105a17b608}
KEY:HKEY_CLASSES_ROOT\CLSID\{4f99a075-5227-11d2-ad06-00105a17b608}
KEY:HKEY_CLASSES_ROOT\CLSID\{371d0743-7a57-11d2-ad5a-00105a17b608}
KEY:HKEY_CLASSES_ROOT\CLSID\{e9d55102-9683-11d2-ba68-0040053687fe}
KEY:HKEY_CLASSES_ROOT\CLSID\{0c1f87ae-ae62-11d3-911c-00105a17b608}
KEY:HKEY_CLASSES_ROOT\CLSID\{b22fe43c-d1e8-432a-a862-9f83d5f04732}

Falls du diese findest -> Löschen

Zitat:

c:/System Volume Information/_restore..../A0171015.tld

Hier gehst du in das Verzeichnis und löscht den kompletten Ordner, worin die
Random-Datei sich aufhält.

Zitat:

O16 - DPF: {00000000-0000-0000-0000-000020040000}

Und den fixed du mit HijackThis.

Obwohl in deinem ersten HijackThis-Log-File folgende Datei nicht gefunden wurde
suchst nach einem Neustart diese Datei und löscht sie bei Fund.

Zitat:

dlhost.exe

Ich hoffe das reicht dem dann.

mfg Cleriker

bmoebis · 29.09.2006, 16:34

Erster Teilerfog: IamBigBrother scheint gekillt zu sein.

Wir wären vielleicht schon weiter, aber es gab wohl einen kleinen Schreibfehler:

HKCR = HKEY_CURRENT_USER

kann es sein dass es so sein sollte

HKCR = HKEY_CLASSES_ROOT ?

Ich hab mal aufgeschrieben, was in HKCR\.s3d noch steht

(standard) REG_SZ simply3D.Projekt.3
ShellNew

(standard) REG_SZ (Wert nicht gesetzt)

NullFile REG_SZ

Trotzdem alles unter HKCR\.s3d löschen oder nur Zeile NullFile.

Eine dlhost.exe wird nicht gefunden, aber eine dllhost.exe undzwar in folgenden Ordnern:
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
Da gab es auch eine uninstall, aber die findet er jetzt nicht mehr. Vielleicht muss ich mal neu starten.

Der muss dann wohl auch noch da sein: O16 - DPF: {00000000-0000-0000-0000-000020040000}

mfg bmoebis

bmoebis · 06.10.2006, 11:53

Bitte nochmals posten , ob es wirklich nur kleine Schreibfehler (siehe letzten Eintrag) waren. Sonst gehe ich nicht an die Registry oder lösche Dateien, ohne zu wissen, was ich da anrichte.

bmoebis · 31.10.2006, 11:58

Ich habe alles erledigt.
Der Mediator bleibt und auch der Eintrag O16 - DPF: {00000000-0000-0000-0000-000020040000} ist wieder da.

Hier das aktuelle hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 11:48:15, on 31.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\Programme\Sygate\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
g:\Programme\Alwil Software\Avast4\aswUpdSv.exe
g:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
g:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Microsoft SQL Server\MSSQL$DBKITA\Binn\sqlservr.exe
G:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\BURKHARD\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINDOWS\system32\wdfmgr.exe
G:\Typo_Ubuntu\VMwarePlayer\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
g:\Programme\Alwil Software\Avast4\ashMaiSv.exe
g:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\SOINTGR.EXE
G:\Programme\ZipMagic\zm32NT.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\pupxpman.exe
G:\Programme\PC Booster\pcbooster.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Teledat\Iwatch.exe
C:\Programme\Teledat\TelWeb32.exe
C:\Postme\PLUGINS\chkme32.exe
G:\Programme\OpenOffice.org1.1.0\program\soffice.exe
G:\Programme\OpenOffice2.0\Programm\program\soffice.exe
G:\Programme\OpenOffice2.0\Programm\program\soffice.BIN
C:\VSTASCAN\vsaccess.exe
C:\WINDOWS\system32\ntvdm.exe
G:\Programme\Oleco\oleco.exe
G:\Programme\Browser\Firefox\firefox.exe
G:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alltheweb.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - g:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\FDCatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - G:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - G:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [ZipMagic] G:\Programme\ZipMagic\zm32NT.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\System32\pupxpman.exe
O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\System32\PUPXPTWK.EXE /TWEAK
O4 - HKLM\..\Run: [PC Booster] G:\Programme\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] G:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [eval starter] "G:\Programme\FarStone\VirtualDrive\Eval.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] g:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [ZipMagic] G:\Programme\ZipMagic\zm32NT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: chkme32.exe.lnk = PLUGINS\chkme32.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = G:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.0.lnk = G:\Programme\OpenOffice2.0\Programm\program\quickstart.exe
O4 - Startup: RegFreeze.lnk = G:\Programme\RegFreeze\regfreeze.exe
O4 - Startup: Termine.lnk = G:\Programme\WinTer\winter.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\Iwatch.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
O8 - Extra context menu item: Download &All by FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programme\FreshDevices\FreshDownload\fdiectx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - G:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .svg: G:\PROGRA~1\Browser\NETSCA~2\Program\PLUGINS\NPSVG3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {00000000-0000-0000-0000-000020040000} -
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/customerxsigned35.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4274/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{763B4029-7162-4C14-B6C3-C0028CE9DB76}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1270564-B62A-42FD-818B-7CD75ED5442A}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - g:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - g:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - g:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - g:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - g:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: MySql - Unknown owner - F:/wampp13cs/mysql/bin/mysqld-nt.exe
O23 - Service: NMSAccess - Unknown owner - G:\Programme\DeepBurner\Tools\NMSAccess.exe (file missing)
O23 - Service: Prime95 Service - Unknown owner - G:\Programme\Prime95\prime95.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - G:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - G:\Programme\Sygate\smc.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\BURKHARD\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - G:\Typo_Ubuntu\VMwarePlayer\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

cosinus · 31.10.2006, 12:24

Ich schau mir Dein Logfile auch nochmal an

Zitat:

C:\Postme\PLUGINS\chkme32.exe

Kenn ich ebenfalls nicht, ist Dir die Datei bekannt?

Zitat:

G:\Programme\OpenOffice.org1.1.0\program\soffice.exe
G:\Programme\OpenOffice2.0\Programm\program\soffice.exe

Wieso läuft OpenOffice zweimal und dann in unterschiedlichen Versionen?

Zitat:

C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

Java ist völlig veraltet und sollte dringend aktualisiert werden!

Lass mal bitte Blacklight durchlaufen und poste das Ergebnis.

bmoebis · 01.11.2006, 09:58

Zitat:

Lass mal bitte Blacklight durchlaufen und poste das Ergebnis.

Blacklight hat nichts gefunden.

Zitat:

C:\Postme\PLUGINS\chkme32.exe

ist ok! Ist ein Plugin meines bevorzugten E-Mailprogramms PostMe. Ich arbeite aber auch mit Thunderbird, irgendwann stelle ich auf Letzteres um.

OpenOffice läuft in beiden Versionen, weil es ein paar kleine Kompatibilitätsprobleme gibt. Die 2er Version ist leider nicht komplett aufwärtskompatibel und bevor ich aufwändige Formulare noch einmal erstelle, lasse ich lieber die alte Version für den Bedarfsfall noch auf dem Rechner.

Zitat:

C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

Würde ich sofort aktualisieren, wenn ich wüsste, wie ich bei sun den richtigen Download finde!!!

zwei rote bei der Auswertung

Log-Analyse und Auswertung: zwei rote bei der Auswertung