Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Neuer besonders fieser Trojaner?

Neuer besonders fieser Trojaner?


Log-Analyse und Auswertung: Neuer besonders fieser Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 3 1 23
Alt 25.08.2007, 18:59   #1
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Habe gestern abend Zonealarm (mit den Trial-Zusätzen) installiert und heute anscheinend einen Trojaner mit Spywarewarnung bekommen. Bisher hatte ich keine Probleme. (Kann natürlich Zufall sein. Durch die neue Software war ich Deppin aber leider weniger aufmerksam und bin in die Falle getappt):
Fenster "Windows Security Alert" erscheint mit: "Internet attack attept detected usw." Nach dem Schliessen des fensters kommen dann noch andere. Ich habe irgendwann auf download, install oder sowas ähnliches klicken müssen, weil sonst nix mehr ging.

Nun habe ich mit HijackThis schon mehrmals folgenden Eintrag gefixt:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2, aber er ist nach Neustart wieder da.

Bitte helft mir doch, und bedenkt, auch, wenn ich HijackThis habe, bin ich ansonsten doch eine ziemliche Newbie, was Viren/Trojaner angeht.


Hier meiin HijackThis-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 18:17:54, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\WINDOWS\system32\taskmgr.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\duocore.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - http://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank für Eure Hilfe!
Liebe Grüße, Lea

P.S. Um euch nicht zu sehr mit Arbeit zu erschlagen, habe ich erst nach ähnlichen Beiträgen gesucht ("softwarereferral"), aber alle zwölf, die ich fand wurden nicht beantwortet :-( Allerdings sind sie auch ziemlich neu.

Alt 25.08.2007, 20:02   #2
undoreal
/// AVZ-Toolkit Guru
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Halli hallo Lea.

Zitat:
Ich habe irgendwann auf download, install oder sowas ähnliches klicken müssen, weil sonst nix mehr ging.
das war der größte Fehler den du hättest machen können!! Kann gut sein, dass deine Kiste ist nicht mehr zu retten ist.

Lasse mal bitte folgende Dateien auf VT auswerten und poste das Ergebnis:

" C:\WINDOWS\duocore.dll "

" C:\WINDOWS\wmpenv.dll "

Gruß

Undoreal
__________________

__________________
Alt 25.08.2007, 20:44   #3
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


liebe(r) undoreal,

danke, dass du dich um mich kümmerst und sorry dass es so lange dauerte bei mir, aber hier gehen ständig verschiedene fenster auf und ich muss sie dann im Taskmanager schliessen

die erste datei gibt es bei mir nicht im windows (XP), kann das sein? Im moment kann ich leider nicht mal mehr im ordner runterscrollen weil der pc nicht reagiert :-(

die zweite hab ich eingegeben und das ist das ergebnis:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.25 -
Authentium 4.93.8 2007.08.25 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.25 Clicker.IEM
BitDefender 7.2 2007.08.25 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.25 -
DrWeb 4.33 2007.08.25 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.25 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.25 Adware/AdClicker
F-Prot 4.3.2.48 2007.08.25 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.25 Trojan-Downloader.Win32.Agent.bjc
Kaspersky 4.0.2.24 2007.08.25 -
McAfee 5105 2007.08.24 AdClicker-FC
Microsoft 1.2803 2007.08.25 Trojan:Win32/Agent.gen!L
NOD32v2 2484 2007.08.25 Win32/Adware.Agent.NAV
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.25 Adware/VideoPlugin
Prevx1 V2 2007.08.25 Trojan.SystemPoser
Rising 19.37.42.00 2007.08.24 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.25 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.25 -
Webwasher-Gateway 6.0.1 2007.08.25 -
weitere Informationen
File size: 241664 bytes
MD5: 5d6395586a30ef8129586478241e6925
SHA1: d79151fdc7c717925715614eeb557c83a3577571
Prevx info: WMPENV.DLL - Prevx


nachtrag: die duocore.dll datei gibt es tatsächlich nicht in meinem windows-ordner
__________________
Geändert von Lea (25.08.2007 um 20:57 Uhr)

Alt 25.08.2007, 21:34   #4
undoreal
/// AVZ-Toolkit Guru
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Lieber ist O.K.

Zitat:
sorry dass es so lange dauerte bei mir,
das macht doch nichts! Außerdem hat es doch garnicht lange gedauert...

Zitat:
die duocore.dll datei gibt es tatsächlich nicht in meinem windows-ordne
das kann eigentlich nicht sein. Versuche es bitte noch einmal und diesmal so wie es in dem Link meiner Signatur " Suchen und Finden von Dateien" beschrieben steht...

lg

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 25.08.2007, 21:55   #5
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


lieber undoreal,

vorhin hatte ich zwar tatsächlich nur versteckte dateien anzeigen lassen (du kennst deine pappenheimer, was?) und nicht auch die geschützten systemdateien, aber selbst, wenn ich die auch aktiviere, gibt es in meinem windows-ordner immer noch keine duocore.dll.

ich hatte heute mittag noch cccleaner drüberlaufen lassen und alles gelöscht, was das programm vorgeschlagen hatte, evtl auch bei HijackThis noch was anderes mir unbekanntes gefixt ausser dem bereits geposteten eintrag. könnte das daran liegen? ich könnte ja mal wieder neustart machen, aber der hat die letzten male schon gefährlich gemuckt: jedes zweite mal nur uniblauer bildschirm ohne jegliche leisten buchstaben icons oder fenster.

(apropos: sollte ich die systemwiederherstellung abschalten oder nicht?)

schöne grüsse
lea


Alt 25.08.2007, 22:14   #6
undoreal
/// AVZ-Toolkit Guru
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Zitat:
sollte ich die systemwiederherstellung abschalten oder nicht?
jup! kannst du ruhig schon machen.. ich nehme mal an, dass du schon versucht hast dein System zu einem früheren Zeitpunkt wiederherzustellen..

Zitat:
immer noch keine duocore.dll.
lasse HJt bitte noch einmal laufen und gucke nach ob dieser Eintrag noch auftaucht bzw. poste einfach das Logfile wie beim letzten mal.. (Das alte log solltest du vorher umbenennen)

Gruß

Undoreal
__________________
--> Neuer besonders fieser Trojaner?

Alt 25.08.2007, 22:29   #7
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Danke für deine schnelle Antwort, lieber undoreal!

a) Systemwiederherstellung hab ich noch nie gemacht, hab Angst dass ich was falsch mache

b) HJT-Protokoll
Logfile of HijackThis v1.99.1
Scan saved at 23:23:54, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2]UltimateCleaner 2007[/url]
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Geändert von Lea (25.08.2007 um 22:36 Uhr)

Alt 25.08.2007, 22:40   #8
undoreal
/// AVZ-Toolkit Guru
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


b) O.k. der ist tatsächlich nicht mehr drinn.

a) wird wahrscheinlich eh nichts mehr bringen also lotse ich dich da jetzt nicht durch.. ( Generell suchst du dir aber nur einen Zeitpunkt aus zu dem du dein System zurücksetzten möchtest. Alle nach diesem Zeitpunkt ausgeführten Änderungen werden aufgehoben. Also im IdealFall auch die Infizierung mit einem Schädling)


Mache weiter wie folgt: Poste alle entstehenden LogFiles (evtl. im Ordner des Progs vorhanden)



-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..



-Fixe folgende Einträge mit HJT:

* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 *

* O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll *

* O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll *

sowie ALLE * ......(file missing)- * oder * ........ (no file) -Einträge *


-Folge dieser Anleitung.

-Run Combofix. Poste den erscheinenden Text.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-PrevX Check.

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).



Gruß
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 26.08.2007, 17:31   #9
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Lieber undoreal,

Hier ein Zwischenbericht:

Bin bis auf ein paar Stunden Schlaf ununterbrochen am Scannen, aber leider immer noch nicht durch. Allein das Java deinstallieren dauerte fast ne Stunde, die diversen Scanns oft mehrere Stunden.

Updaten macht bei Antivir, Spybot und Ad-Aware große Schwierigkeiten, bei Spybot hat es jetzt endlich geklappt und ich hab dort auch schon 12 Probleme behoben.

Manche Programme musste/muss ich mehrmals scannen, Ad-Aware hat schon zum zweiten mal nach knapp 4 Stunden die Fehlermeldung gebracht, Service Error 6000, lost connection".

Antivir hab ich ganz deinstallierten müssen und das neueste Programm downgeloadet, hab es aber trotzdem immer noch nicht nicht updaten können. Einmal fing das Update sogar an, brach aber nach 10% ab, danach nicht mal das mehr. Zur Zeit scanne ich mit der immerhin neuesten, aber nicht upgedateten Version bei einer geschwindigkeit von 1% pro 10 min ( Stand momentan: 11,2 %)

Der Desktop macht noch viele Sperenzchen: die Tastleiste verschwindet öfters ganz, mal ist links oben ein weisses Feld, rechte Maustaste zeigt unpassende Aktionen an, aber das geht schon irgendwie.

Aber das Beste ist doch: Seit Smidfraudfix kommen die elenden IE-Fenster nicht mehr ständig und stören mich !!!

Ich denke, ich poste alle logs zusammen, dann hast du es einfacher, falls du die bieherigen logs schon mal haben willst, sag kurz Bescheid.
Ansonsten bis morgen oder so, wenn alles klappt.

Liebe Grüße!

Lea, die soeben bemerkt hat, wie schön draussen das Wetter ist und die elendlange vorrauszusehende Scanzeit von Antivir ausnutzen will, um etwas Fahrrad zu fahren.

Alt 27.08.2007, 15:16   #10
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Blacklight:

08/26/07 00:38:57 [Info]: BlackLight Engine 1.0.64 initialized
08/26/07 00:38:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/26/07 00:39:02 [Note]: 7019 4
08/26/07 00:39:02 [Note]: 7005 0
08/26/07 00:39:13 [Note]: 7006 0
08/26/07 00:39:13 [Note]: 7011 420
08/26/07 00:39:14 [Note]: 7026 0
08/26/07 00:39:14 [Note]: 7026 0
08/26/07 00:39:38 [Note]: FSRAW library version 1.7.1022
08/26/07 00:45:35 [Error]: 6019 0
08/26/07 00:45:35 [Error]: 6017 0
08/26/07 00:46:44 [Note]: 7007 0


Silent Runners:
eingefroren


HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 01:03:23, on 26.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\DOKUME~1\Lea\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: wmpenv - {AA9E3618-949D-4214-8064-9AAB5992456C} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {234A54BA-92F7-4E0F-AA4C-690F09D60F98} - C:\WINDOWS\wmpconf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


zweiter Blacklight (der erste ging verdächtig schnell):

08/26/07 01:32:49 [Info]: BlackLight Engine 1.0.64 initialized
08/26/07 01:32:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/26/07 01:32:49 [Note]: 7019 4
08/26/07 01:32:49 [Note]: 7005 0
08/26/07 01:33:17 [Note]: 7006 0
08/26/07 01:33:17 [Note]: 7011 3568
08/26/07 01:33:18 [Note]: 7026 0
08/26/07 01:33:18 [Note]: 7026 0
08/26/07 01:33:27 [Note]: FSRAW library version 1.7.1022
08/26/07 01:53:25 [Note]: 7007 0



Silent Runners:

"Silent Runners.vbs", revision 52, h**p://ww.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [file not found]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{927EAB1E-B568-4E78-B8E9-36CFC439FE3B}" = "PdfGrabber Context Menu Shell Extension"
-> {HKLM...CLSID} = "PdfGrabber Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\PdfGrabber 3.0\PdfGrabberShellExt.dll" [null data]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [file not found]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}
"DisableTaskMgr" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Active Desktop web content (hidden if disabled):
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Privacy Protection"
"Source" = "file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL" = ""
Enabled Scheduled Tasks:
------------------------
"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers:
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" [file not found]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" [file not found]
Extensions (Tools menu items, main toolbar menu buttons):
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B13B4423-2647-4CFC-A4B3-C7D56CB83487}\
"ButtonText" = "Share in Hello"
"MenuText" = "Share in H&ello"
"CLSIDExtension" = "{B13B4423-2647-4cfc-A4B3-C7D56CB83487}"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points:
------------------------------
HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDFCreator\Driver = "pdfcmnnt.dll" [null data]
Redirected Port\Driver = "redmonnt.dll" [null data]
---------- (launch time: 2007-08-26 01:24:35)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 254 seconds, including 17 seconds for message boxes)


SmitFraudFix 1: Scan

SmitFraudFix v2.216
Scan done at 1:17:04,19, 26.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\main_uninstaller.exe FOUND !
C:\WINDOWS\privacy_danger FOUND !
C:\WINDOWS\wmpconf.dll FOUND !
C:\WINDOWS\wmpenv.dll FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lea
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lea\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Lea\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url FOUND !
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url FOUND !
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
C:\Programme\VideoAccessCodec\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.149.142
DNS Server Search Order: 217.237.150.205
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 27.08.2007, 15:17   #11
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


SmitFraudFix 2: Killing im abgesicherten Modus

SmitFraudFix v2.216
Scan done at 2:10:59,98, 26.08.2007
Run from C:\Dokumente und Einstellungen\Lea\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\main_uninstaller.exe Deleted
C:\WINDOWS\privacy_danger\ Deleted
C:\WINDOWS\wmpconf.dll Deleted
C:\WINDOWS\wmpenv.dll Deleted
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url Deleted
C:\Programme\VideoAccessCodec\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer=194.97.173.124 194.97.173.125
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End


ComboFix

ComboFix 07-08-25.2 - "Lea" 2007-08-26 2:25:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.85 [GMT 2:00]
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\DOKUME~1\Gast\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Lea\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Lea\FAVORI~1\Error Cleaner.url
C:\DOKUME~1\Lea\FAVORI~1\Privacy Protector.url
C:\DOKUME~1\Lea\FAVORI~1\Spyware&Malware Protection.url
c:\RECYCLER\desktopA.sys
C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt
((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))
2007-08-26 01:39 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-26 01:17 1,544 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-26 01:16 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-26 01:16 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-26 01:16 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-25 12:01 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\MailFrontier
2007-08-24 23:51 <DIR> d-------- C:\Programme\DVD2SVCD
2007-08-24 23:11 <DIR> d-------- C:\Programme\Super_DVD_Creator_9.5
2007-08-23 22:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier
2007-08-23 22:21 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-08-23 22:19 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-08-23 22:19 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-08-23 22:19 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-08-23 22:19 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-08-23 22:18 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-08-23 22:18 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-08-23 22:17 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-08-23 22:17 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-08-23 22:17 399,392 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-08-23 22:14 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-08-23 22:13 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-08-23 22:13 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-08-23 22:11 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-08-22 00:39 <DIR> d-------- C:\Programme\DVD Shrink DE
2007-08-22 00:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
2007-08-21 17:03 <DIR> d-------- C:\Programme\Pegasys Inc
2007-08-21 17:03 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Pegasys Inc
2007-08-21 15:12 <DIR> d-------- C:\Programme\Simple Sudoku
2007-08-21 15:12 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Simple Sudoku
2007-08-19 20:28 <DIR> d-------- C:\Programme\DVDx
2007-08-19 18:58 <DIR> d-------- C:\Programme\AviSynth 2.5
2007-08-19 18:57 <DIR> d-------- C:\Programme\Avi2Dvd
2007-08-19 12:06 <DIR> d-------- C:\divx
2007-08-19 11:22 <DIR> d-------- C:\Programme\AC3Filter
2007-08-18 19:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BCL Technologies
2007-08-18 15:06 <DIR> d-------- C:\Programme\BSW
2007-08-18 14:23 <DIR> d-------- C:\Programme\BrettspielWelt
2007-08-18 10:49 <DIR> d-------- C:\Programme\MSXML 4.0
2007-08-17 21:25 <DIR> d-------- C:\Programme\TGeb
2007-08-14 08:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2007-08-14 08:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\ACD Systems
2007-08-14 07:17 <DIR> d--hs---- C:\WINDOWS\CSC
2007-08-13 18:19 <DIR> d-------- C:\Programme\Opera
2007-08-13 18:18 <DIR> d-------- C:\Programme\AutoUpdate
2007-08-13 18:18 <DIR> d-------- C:\Programme\Artwork
2007-08-13 05:40 <DIR> d-------- C:\Programme\AVS4YOU
2007-08-13 05:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-08-13 00:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-08-13 00:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-13 00:12 476,314 --a------ C:\Programme\bandit_15.exe
2007-08-13 00:12 175,616 --a------ C:\Programme\soegel32.dll
2007-08-13 00:12 1,300,992 --a------ C:\Programme\soegel15.dll
2007-08-12 23:53 <DIR> d-------- C:\Programme\Emailprogramme
2007-08-12 23:28 <DIR> d-------- C:\Programme\MSSoap
2007-08-12 23:27 <DIR> d-------- C:\Programme\SpeechEngines
2007-08-12 23:26 <DIR> d-------- C:\Programme\System
2007-08-12 23:24 <DIR> d-------- C:\Programme\Textprogramme
2007-08-12 23:20 <DIR> d-------- C:\Programme\Uebriges
2007-08-12 23:19 <DIR> d-------- C:\Programme\Systemprogramme
2007-08-12 23:11 <DIR> d-------- C:\Programme\Bildbearbeitung
2007-08-12 23:09 <DIR> d-------- C:\Programme\Viren etc
2007-08-12 23:08 <DIR> d-------- C:\Programme\Audioprogramme
2007-08-12 22:58 <DIR> d-------- C:\Programme\DVD Programme
2007-08-12 17:55 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\Media Player Classic
2007-08-12 00:52 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2007-08-12 00:52 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2007-08-12 00:51 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2007-08-12 00:51 5,600 --a------ C:\WINDOWS\system\winaspi.dll
2007-08-12 00:51 48,128 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-08-12 00:51 4,672 --a------ C:\WINDOWS\system\wowpost.exe
2007-08-12 00:51 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-08-12 00:51 23,936 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2007-08-12 00:51 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-08-12 00:51 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2007-08-12 00:51 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-08-11 22:50 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2007-08-11 19:00 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\AVS4YOU
2007-08-11 15:43 31,067,084 --a------ C:\mvinfo.bin
2007-08-07 13:51 <DIR> d-------- C:\8881_PMPVLC009binaries
2007-08-07 01:18 86,016 --a------ C:\WINDOWS\unvise32.exe
2007-08-07 01:07 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\DivX
2007-08-07 01:04 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-08-07 01:04 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-08-07 01:04 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-08-06 19:38 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-08-06 19:22 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-08-06 19:02 <DIR> d-------- C:\RegBackups
2007-08-06 18:44 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
2007-08-06 15:57 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-08-06 15:57 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-08-06 14:45 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\TuneUp Software
2007-08-06 14:05 17,024 --a------ C:\WINDOWS\system32\drivers\usbohci.sys
2007-08-06 00:24 <DIR> d-------- C:\DOKUME~1\Lea\ANWEND~1\dvdcss
2007-08-05 23:54 <DIR> d-------- C:\EasyDivX
2007-08-05 22:20 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-08-05 22:20 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-08-05 22:20 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-08-05 22:20 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-08-05 22:20 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-08-05 22:20 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-25 18:24 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Prevx
2007-08-25 18:04 5036 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-08-23 22:47 --------- d-------- C:\Programme\fotopost24 photobook
2007-08-23 22:47 --------- d-------- C:\Programme\Dienste
2007-08-23 22:47 --------- d-------- C:\Programme\CUEcards
2007-08-23 22:47 --------- d-------- C:\Programme\ActiveVocabLight
2007-08-19 17:39 --------- d-------- C:\Programme\Ulead Systems
2007-08-18 19:40 --------- d-------- C:\Programme\Gemeinsame Dateien\XPressUpdate
2007-08-14 08:58 --------- d-------- C:\DOKUME~1\Lea\ANWEND~1\ACD Systems
2007-08-14 08:58 --------- d-------- C:\DOKUME~1\Lea\ANWEND~1\ACD Systems
2007-08-14 08:56 --------- d-------- C:\Programme\ACD Systems
2007-08-13 00:26 --------- d-------- C:\Programme\FoneSync
2007-08-13 00:15 17 --a------ C:\Programme\stng260.opt
2007-08-13 00:05 818176 ---h----- C:\WINDOWS\system32\wodfamoh.dll
2007-08-12 00:52 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-10 10:08 --------- d-------- C:\Programme\CCleaner
2007-08-06 03:41 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
2007-08-02 13:49 --------- d-------- C:\Programme\Microsoft Works
2007-08-02 11:17 --------- d-------- C:\Programme\Symantec Shared
2007-08-02 11:11 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
2007-07-31 19:45 149 --a------ C:\Programme\Adobe FEAD_error.log
2007-07-31 17:49 --------- d-------- C:\Programme\ConTEXT
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 13:35 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\Prevx
2007-07-29 18:31 --------- d-------- C:\Programme\PDFCreator
2007-07-27 01:06 43528 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-07-17 19:21 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\SecondLife
2007-07-16 07:29 --------- d-------- C:\DOKUME~1\Euryale\ANWEND~1\Anvil Studio
2007-07-16 06:53 --------- d-------- C:\Programme\Anvil Studio
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-05-12 16:19 119146 --a------ C:\Programme\gzip-1.2.4.msdos.exe
2006-03-08 11:41 510696 --a--c--- C:\Programme\GenuineCheck.exe
2005-10-16 20:22 1114806 --a--c--- C:\Programme\Printscreen.exe
2005-05-28 07:33 5568952 --a--c--- C:\Programme\MDAC_TYP nicht kompatibel.EXE
2005-04-26 21:34 2717762 --a--c--- C:\Programme\04_04_tubes.exe
2004-08-17 19:20 2031176 --a------ C:\DOKUME~1\DEFAUL~1\Flash_Video_Exporter.exe
2004-06-27 03:00 79397 --a------ C:\WINDOWS\Fonts.\unins000.exe
2000-02-17 12:25 45 --a------ C:\Programme\bandit.ini
1993-08-19 09:53 39910 --a--c--- C:\Programme\GZIP.EXE
1993-08-19 09:52 121868 --a--c--- C:\Programme\GZIP386.EXE
2001-08-18 19:00:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 07:57:36 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-04 07:57:23 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll
2004-08-04 07:57:28 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-04 07:57:28 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll
2004-08-04 07:57:28 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll
2007-05-17 11:28:50 549,376 --sh--w C:\WINDOWS\system32\oleaut32.dll
2004-08-04 07:57:32 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll
2004-08-04 07:58:09 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" []
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" []
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_erinnerung_18_demo.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_erinnerung_18_demo.lnk
backup=C:\WINDOWS\pss\p6_erinnerung_18_demo.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Express Calendar Checker SE.lnk
backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintScreen starten.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PrintScreen starten.lnk
backup=C:\WINDOWS\pss\PrintScreen starten.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=C:\WINDOWS\pss\Status Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Lea^Startmenü^Programme^Autostart^Froggy.lnk]
path=C:\Dokumente und Einstellungen\Lea\Startmenü\Programme\Autostart\Froggy.lnk
backup=C:\WINDOWS\pss\Froggy.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CXMon]
"C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
DevDetect.exe -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
C:\Programme\Gemeinsame Dateien\AOL\1160239680\ee\AOLSoftware.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PicasaNet]
"C:\Programme\Hello\Hello.exe" -b
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrevxOne]
"C:\Programme\Prevx1\PXConsole.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBCSTray]
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Agent]
C:\Programme\webHancer\Programs\whagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"SNDSrvc"=3 (0x3)
"PREVXAgent"=2 (0x2)
"NVSvc"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=2 (0x2)
"Brother XP spl Service"=2 (0x2)
"brmfrmps"=2 (0x2)
"AVG Anti-Spyware Guard"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Microsoft Works Portfolio"=C:\Programme\Microsoft Works\WksSb.exe /AllUsers
"Picasa Media Detector"=C:\Programme\Picasa2\PicasaMediaDetector.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
R0 PrevxDriver;PREVX Kernel Mode Agent;C:\WINDOWS\system32\drivers\pxfsf.sys
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 PrevxTdi;PREVX TDI filter;C:\WINDOWS\system32\drivers\pxtdi.sys
R1 PXRDDriver;PREVX Rootkitscan driver;C:\WINDOWS\system32\DRIVERS\pxrd.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys
R3 ham;Creatix V.90 HaM;C:\WINDOWS\system32\Drivers\ham.sys
S1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\C:\DOKUME~1\Lea\LOKALE~1\Temp\Rar$EX01.650\kerneld.wnt
S3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys
S3 PrevxEmulator;PREVX Emulator driver;C:\WINDOWS\system32\drivers\pxemu.sys
S3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys
*Newly Created Service* - CATCHME
Contents of the 'Scheduled Tasks' folder
2007-08-24 15:15:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job
2007-08-21 14:00:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://ww.gmer.net
Rootkit scan 2007-08-26 02:46:09
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-26 2:49:28
C:\ComboFix-quarantined-files.txt ... 2007-08-26 02:49
--- E O F ---

Alt 27.08.2007, 15:19   #12
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


So. ENDLICH FERTIG!

Da ich nur selten ins Internet komme, seit diese Sch***Zonealarm installiert ist und man sie angeblich nicht einfach deinstallieren kann und da der Desktop auch nicht zu gebrauchen ist werde ich nun wohl doch alles plattmachen müssen. Schade um das schöne Wochenende.



HijackThis-Log

Logfile of HijackThis v1.99.1
Scan saved at 15:20:15, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Prevx2\PXAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\CCleaner\ccleaner.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - h**p://82.127.17.206/home/SonySncCs3View.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186090951981
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://ww.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186090809646
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Unknown owner - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe (file missing)
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




iclean log 27.08.2007 15:26:03

Windows XP SP2, Using advanced Kernel functions

Processes
---------
752 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
808 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
832 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
876 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
888 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1048 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1100 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1180 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1260 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1328 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1340 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1596 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1644 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1812 - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service
1824 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1880 - C:\Programme\Prevx2\PXAgent.exe - Prevx Agent (Signed)
2044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
292 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
312 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2824 - C:\WINDOWS\Explorer.EXE - Windows Explorer
3048 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
3108 - C:\Programme\SPYWAREfighter\spftray.exe - Spywarefighter Tray (Signed)
3120 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
3144 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
3228 - C:\Programme\SPYWAREfighter\spfprc.exe - SpywareFighter (Signed)
3988 - C:\Programme\CCleaner\ccleaner.exe - C:\Programme\CCleaner\ccleaner.exe
3072 - C:\PROGRA~1\MOZILL~1\FIREFOX.EXE - Firefox (Signed)
212 - C:\Dokumente und Einstellungen\Lea\Eigene Dateien\Downloads\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\lavasoft\ad-aware 2007\aawservice.exe=aawservice
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
c:\programme\prevx2\pxagent.exe=PREVXAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasAuto
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
c:\programme\spywarefighter\spfprc.exe=SPYWAREfighterRP
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: !AVG Anti-Spyware="c:\programme\grisoft\avg anti-spyware 7.5\avgas.exe" /minimized
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: spywarefighterguard=c:\programme\spywarefighter\spftray.exe
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\programme\spybot - search & destroy\sdhelper.dll ()
030=BHO: {55EA1964-F5E4-4D6A-B9B2-125B37655FCB}=c:\dokumente und einstellungen\all users\anwendungsdaten\prevx\pxbho.dll (URLDetector Class)
031=Toolbar: {00000000-0002-0002-0000-000000000000}=(null)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=(null)
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=(null)
032=RestrictedZOne: *.00hq.com
(noch ca. 1000 weitere derartige Adressen)

Startup Folders
---------------
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

Alt 27.08.2007, 17:45   #13
undoreal
/// AVZ-Toolkit Guru
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Hey Lea.

Zitat:
SPYWAREfighter
wie kommt der denn nun auf deinen Rechner?

Da ist aber 'ne ganze Menge Murks am Start. Willst du Neuaufsetzten?

Anleitung ist in meiner Signatrur verlinkt..

Hi Sunny

lg

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 27.08.2007, 17:46   #14
Sunny
Administrator
> Competence Manager
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Hallo Lea

Ok, dann wollen wir mal nachsehen was gelöscht wurde und was nicht!



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2 Bereinigung!)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:

folder to delete:
C:\Programme\VideoAccessCodec
C:\WINDOWS\privacy_danger

files to delete:
C:\DOKUME~1\Lea\Desktop\Error Cleaner.url
C:\DOKUME~1\Lea\Desktop\Privacy Protector.url
C:\DOKUME~1\Lea\Desktop\Spyware?Malware Protection.url
C:\WINDOWS\main_uninstaller.exe
C:\WINDOWS\wmpconf.dll
C:\WINDOWS\wmpenv.dll
C:\WINDOWS\system32\tmp.reg
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp


Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.08.2007, 17:54   #15
Lea
 
Neuer besonders fieser Trojaner? - Standard

Neuer besonders fieser Trojaner?


Zitat:
Zitat von undoreal Beitrag anzeigen
Hey Lea.

wie kommt der denn nun auf deinen Rechner?

Da ist aber 'ne ganze Menge Murks am Start. Willst du Neuaufsetzten?

Anleitung ist in meiner Signatrur verlinkt..

Hi Sunny

lg

Undoreal
An undoreal:

Ich habe nun drei Tage lang unter äusserst erschwerten Umständen (alles lief wahnsinnig langsam, z.b. Ad-Aware stürzte FÜNFMAL nach jeweils knapp 4 Stunden ab) deine tausende von Programmen downgeloadet und abgearbeitet und die einzige info, die ich daraufhin von dir bekomme ist dass MURKS auf meinen Rechner ist? Ich bin seit tagen völlig fertig mit den Nerven und ich finde Dich errlich gesagt absolut nicht OK !!!



PS

was ist aufsetzen?

Formatieren? ich hab den Rechner fertig bei Aldi gekauft und weiss gar nicht genau wie das geht. Verliere ich dann alle meine Daten?

Spywarefigher wurde mir auf einer Seite als Link angeboten und ich hab den runtergeladen weil Samstag Nacht weder AD Aware noch Spybot funktionierten. Hab natürlich erst gegoogelt ob der ok ist. und das ist er. ODER ?????????? War das falsch oder was meintest du mit deiner Frage ?
Geändert von Lea (27.08.2007 um 18:00 Uhr)

Antwort
Seite 1 von 3 1 23

Themen zu Neuer besonders fieser Trojaner?
1.exe, antivir, avast!, avg, bho, einstellungen, excel, firefox, google, helper, hijack, hijackthis, internet, internet explorer, monitor, mozilla, mozilla firefox, security, software, symantec, system, trojaner, trojaner?, windows, windows security, windows security alert, windows xp, wmid


« Bitte einen Eintrag im LogFile überprüfen | NOAdware meldet Trojaner.Skintrim kommt nach Neustart immer wieder »


Ähnliche Themen: Neuer besonders fieser Trojaner?


  1. Vielen Dank an Trojaner-Board.de und besonders an deeprybka!
    Lob, Kritik und Wünsche - 23.07.2014 (1)
  2. Vielen Dank an Trojaner-Board und besonders an schrauber!
    Lob, Kritik und Wünsche - 09.06.2014 (0)
  3. Danke Trojaner Board und besonders Schrauber!
    Lob, Kritik und Wünsche - 05.03.2014 (0)
  4. Vielen Dank ans Trojaner-Board besonders aharonov
    Lob, Kritik und Wünsche - 22.11.2013 (0)
  5. GEMA-Trojaner noch fieser als zuvor!
    Plagegeister aller Art und deren Bekämpfung - 21.10.2012 (5)
  6. Fieser Erpressertrojaner, GVU?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (21)
  7. dreiste E-mail Bestellbestätigung, war fieser BKA Trojaner
    Log-Analyse und Auswertung - 12.05.2012 (7)
  8. Fieser E-Banking-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.04.2011 (10)
  9. Fieser Trojaner C:\Windows\install\server.exe
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (10)
  10. Fieser Virus oder Trojaner eingefangen :(
    Mülltonne - 22.07.2008 (0)
  11. Ultra fieser Trojaner: Offene Ports 1492, 1509, 1524
    Plagegeister aller Art und deren Bekämpfung - 26.08.2007 (25)
  12. Fieser Virus lässt sich nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 01.06.2007 (3)
  13. Fieser SpyFalcon im SystemTray
    Plagegeister aller Art und deren Bekämpfung - 07.05.2006 (13)
  14. fieser Trojaner am Werk und Spy- Hilfe?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2006 (8)
  15. Fieser Wurm,der EXE-Datein befällt!
    Plagegeister aller Art und deren Bekämpfung - 26.10.2005 (1)
  16. Fieser Hijacker
    Log-Analyse und Auswertung - 11.04.2005 (1)
  17. HILFE!!! Fieser Hijacker/Dialer Free XXX
    Log-Analyse und Auswertung - 03.04.2005 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Neuer besonders fieser Trojaner? - Habe gestern abend Zonealarm (mit den Trial-Zusätzen) installiert und heute anscheinend einen Trojaner mit Spywarewarnung bekommen. Bisher hatte ich keine Probleme. (Kann natürlich Zufall sein. Durch die neue Software war - Neuer besonders fieser Trojaner?...
Archiv
Du betrachtest: Neuer besonders fieser Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131