| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: virtumonde, smitfraud und "windows security alert"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.09.2008, 13:32
| #1 |
 |  virtumonde, smitfraud und "windows security alert" Hallo, kämpfe seit 2-3 Tagen mit oben genannten Problemen. Windows Security Alert öffnet sich häufig mit einer URL "antispyware-review.biz". Habe Windows XP prof. , Antivir von Avira und Spybot auf dem Rechner. Gemäß eurer Anleitungen habe ich smitrem, Adaware, Spybot, escan und HijackThis durchlaufen lassen die ich hier poste: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:44:19, on 11.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\Programme\Lavasoft\Ad-Aware\aawservice.exe F:\WINDOWS\Explorer.EXE F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw\biteraha.exe F:\WINDOWS\Mixer.exe F:\Programme\Java\jre1.6.0_07\bin\jusched.exe F:\WINDOWS\system32\LEXBCES.EXE F:\Programme\iTunes\iTunesHelper.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe F:\WINDOWS\system32\LEXPPS.EXE F:\WINDOWS\system32\spoolsv.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe F:\WINDOWS\system32\RUNDLL32.EXE F:\WINDOWS\system32\ctfmon.exe F:\WINDOWS\NCLAUNCH.EXe F:\WINDOWS\system32\rgtkjwxi.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe F:\Programme\Bonjour\mDNSResponder.exe F:\WINDOWS\system32\cisvc.exe F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE F:\Programme\CDBurnerXP\NMSAccessU.exe F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\System32\snmp.exe F:\Programme\iPod\bin\iPodService.exe F:\WINDOWS\system32\cidaemon.exe F:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NCLaunch] F:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [MntAdm] F:\WINDOWS\system32\rgtkjwxi.exe O4 - HKCU\..\Run: [MsgCom] F:\WINDOWS\system32\klmzexit.exe O4 - HKCU\..\Run: [AdmUtilMon] F:\WINDOWS\system32\bmjuhijs.exe O4 - HKCU\..\Run: [ApiSet] F:\WINDOWS\system32\mfclwngv.exe O4 - HKCU\..\Run: [EnUtil] F:\WINDOWS\system32\kjidchab.exe O4 - HKLM\..\Policies\Explorer\Run: [yznFwC7QBA] F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw\biteraha.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O21 - SSODL: strcmd - {6D20CF53-3DA9-9799-EB23-067B5C6F8003} - F:\Programme\ksamieg\strcmd.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - F:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MWAgent - MicroWorld Technologies Inc. - F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe -- End of file - 6672 bytes @echo off REM Version 2008.03.12 REM REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen. REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge. REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten, REM freiwilligen sowie unfreiwilligen Tester. REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt. REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden. REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind REM nicht gestattet. REM REM Marc Manske, April 2007 REM ********************************************************************************* REM 0. Macht die Arbeit etwas einfacher REM ********************************************************************************* REM REM Die Startzeit wird übergeben REM %LOG% erleichtert das Tippen und verbessert den Überblick REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht: REM 1: Anzeige aller Scans REM 2: Anzeige mit Datum und Zeit in jeder Zeile REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile REM Der Paramter wird an %MODUS& übergeben. :INITIAL set TIMESTART=%TIME% set wd=%systemdrive%\escan set LOG=^>^> "%wd%\bases_x\eScan_neu.txt" set MODUS=%1 set linecnt=1 REM ********************************************************************************* REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt. REM ********************************************************************************* REM REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt. REM Die Umgebungsvariable %OS% abgefragt. :OS cls echo. echo. echo [XX______________________] echo. echo Checking OS ... IF "%OS%"=="Windows_NT" goto srchwd IF "%OS%"=="" goto wrngos REM ********************************************************************************* REM 2. Verarbeitung des Scanreports REM ********************************************************************************* REM 2.0.1 Log-Datei (mwav.log) wird gesucht REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt. REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), REM wird diese umbenannt. :srchwd %systemdrive% cd\ dir /A %systemdrive% | findstr /i "escan" if %errorlevel% equ 0 goto srchlog mkdir %wd%\bases_x goto cp2wd :srchlog dir %wd%\bases_x | findstr /i "mwav.log" if %errorlevel% equ 1 goto cp2wd ren %wd%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log" REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert. :cp2wd cls echo. echo. echo [XXXX____________________] echo. echo Copying mwav.log ... dir /s /b %temp%\mwav.log > %wd%\bases_x\tmp.log set /P FILE=<%wd%\bases_x\tmp.log copy "%FILE%" %wd%\bases_x\ REM 2.0.2 Installationssprache wird ermittelt REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen. :getlang cls echo. echo. echo [XXXXXX__________________] echo. echo Determing language ... reg query HKCR\eut /v "Language" > nul for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i if "%eLang%"=="German" ( goto germpath ) else ( goto wrnglang ) REM ********************************************************************************* REM ********************************************************************************* REM 2.1 Deutschsprachiger Pfad REM ********************************************************************************* REM ********************************************************************************* :germpath cls echo. echo. echo [XXXXXXXX________________] echo. echo Cleaning log ... cls echo. echo. echo [XXXXXXXXXX______________] echo. echo Writing header ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %wd%\bases_x\eScan_neu.txt echo Header %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo find.bat Version 2008.03.07 %LOG% ver %LOG% findstr "Bootmodus:" %wd%\bases_x\mwav_cut.log %LOG% if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG% echo. %LOG% for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version" 2^>nul') do set eVersion=%%i if not defined eVersion (for /f "tokens=1-3" %%i in ('findstr /c:"Version" %wd%\bases_x\mwav_cut.log') do set eVersion=%%i %%j) echo eScan Version: %eVersion% %LOG% echo Sprache: %eLang% %LOG% for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %wd%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %wd%\bases_x\tmp.log) more %wd%\bases_x\tmp.log %LOG% echo. %LOG% REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben. REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert. REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. cls echo. echo. echo [XXXXXXXXXXXX____________] echo. echo Reported infections ... REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXX__________] echo. echo Reported files ... echo. %LOG% echo. %LOG% echo ~~~~~~~~~~~ %LOG% echo Dateien %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Infected files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Datei" %wd%\bases_x\mwav_cut.log | findstr /i "infiziert" %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Tagged files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "markiert" %wd%\bases_x\mwav_cut.log %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Offending files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "file" %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) %LOG% echo ~~~~~~~~~~~ %LOG% findstr /i "Spyware infected" %wd%\bases_x\mwav_cut.log %LOG% REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXX________] echo. echo Reported folders and entries ... echo ~~~~~~~~~~~ %LOG% echo Ordner %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG% echo ~~~~~~~~~~~ %LOG% echo Registry %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "Key" %LOG% REM 2.1.5 Deutsch: Diverses REM Meldungen über laufende Prozesse und Scanfehler REM 1. Schritt: Schreiben des vbs zu den laufenden Prozessen REM 2. Schritt: Einfuegen der Liste in das log cls echo. echo. echo [XXXXXXXXXXXXXXXXXX______] echo. echo Misc entries ... echo Dim objWMIService, Proccmdline, ProcList>>%wd%\prclst.vbs echo Dim strComputer, strList>>%wd%\prclst.vbs echo strComputer ^= ".">>%wd%\prclst.vbs echo Set objWMIService ^= GetObject("winmgmts:" ^& "{impersonationLevel=impersonate}!\\" ^& strComputer ^& "\root\cimv2")>>%wd%\prclst.vbs echo Set ProcList ^= objWMIService.ExecQuery ("Select * from Win32_Process")>>%wd%\prclst.vbs echo For Each Proccmdline in ProcList>>%wd%\prclst.vbs echo wscript.echo Proccmdline.Name ^& " - " ^& Proccmdline.commandline>>%wd%\prclst.vbs echo Next>>%wd%\prclst.vbs echo. %LOG% echo. %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Diverses %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo laufende Prozesse - commandline %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% cscript %wd%\prclst.vbs //nologo %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Scanfehler %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% findstr /i "Error" %wd%\bases_x\mwav_cut.log %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Hosts-Datei %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i echo DataBasePath: %hostloc% %LOG% echo %hostloc%\hosts|more> %wd%\bases_x\tmp.log echo Zeilen die nicht dem Standard entsprechen: %LOG% findstr /v /f:%wd%\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG% REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXX____] echo. echo Scanning stats ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Statistiken: >>%wd%\bases_x\eScan_neu.txt echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%) REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXXXX__] echo. echo Writing Options ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Scan-Optionen %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% findstr /i "aktiviert" %wd%\bases_x\mwav_cut.log >> %wd%\bases_x\tmp.log for /f "tokens=*" %%i in ('findstr /i "aktiviert" %wd%\bases_x\tmp.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%) REM ********************************************************************************* REM ********************************************************************************* REM 3. Abschluss REM ********************************************************************************* REM ********************************************************************************* REM 3.1 Abschluss: Temporäre Dateien werden gelöscht. :end cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXXXXXX] echo. echo Cleaning up ... del %wd%\bases_x\tmp.log del %wd%\bases_x\mwav_clean.log del %wd%\bases_x\mwav_cut.log del %wd%\prclst* echo. %LOG% echo Batchstart: %TIMESTART% %LOG% echo Batchende: %TIME% %LOG% REM 3.2 Abschluss: Status wird angezeigt cls echo. echo. echo Auswertung beendet. echo Dieses Fenster schliesst, sobald Notepad geschlossen wird. REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet start notepad %wd%\bases_x\eScan_neu.txt exit REM 4.1 Abbruch: Falsches Betriebssystem :wrngos cls color 04 echo. echo Ihre Windowsversion wird nicht unterstützt. echo Die Stapelverarbeitung wird abgegbrochen. echo. pause exit REM 4.2 Abbruch: falsche Installationssprache :wrnglang cls color 04 echo. echo Fehler bei der Ermittlung der Installationssprache! echo. echo Diese Batchdatei kann nur Logdateien in deutscher Sprache echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. echo. echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um echo die Sprache bei eScan zu ändern. echo. echo Die Stapelverarbeitung wird abgebrochen. echo. pause exit smitRem © log file version 3.2 by noahdfear Microsoft Windows XP [Version 5.1.2600] "IE"="7.0000" Running from F:\Dokumente und Einstellungen\Udo1\Desktop\smitrem\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Appinitdll check ........ Thank you Grinler! dumphive.exe (C)2000-2004 Markus Stephany REGEDIT4 [Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ XP Firewall allowed access Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "F:\\Programme\\eMule\\emule.exe"="F:\\Programme\\eMule\\emule.exe:*:Enabled:eMule" "F:\\Programme\\Real\\RealPlayer\\realplay.exe"="F:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer" "F:\\Programme\\Bonjour\\mDNSResponder.exe"="F:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "F:\\Programme\\iTunes\\iTunes.exe"="F:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "F:\\Programme\\Mozilla Firefox\\firefox.exe"="F:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent" "F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! checking for drsmartload2 key drsmartload2 key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present AlfaCleaner uninstaller NOT present SpyFalcon uninstaller NOT present SpywareQuake uninstaller NOT present SpywareSheriff uninstaller NOT present Trust Cleaner uninstaller NOT present SpyHeal uninstaller NOT present VirusBurst uninstaller NOT present BraveSentry uninstaller NOT present AntiVermins uninstaller NOT present VirusBursters uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ amcompat.tlb nscompat.tlb ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1384 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN!  Ich bin mir nicht sicher ob find.bat bei escan richtig funktionierte, habe es jetzt zweimal auf unterschiedliche Weise versucht, kommt jedesmal dasselbe Ergebnis raus. Da der Beitrag etwas zu groß war, habe ich Teile aus der Mitte des find.bat gelöscht. Also bitte nicht wundern. |
| Themen zu virtumonde, smitfraud und "windows security alert" |
| abbruch, ad-aware, antivir, avira, bho, bonjour, browseui preloader, cdburnerxp, cleaning, codes, desktop, fehlalarm, finds, firefox, firefox.exe, fraud, grinler, handel, hijack, hijackthis, hkus\s-1-5-18, hosts-datei, internet, internet explorer, laufende prozesse, log-datei, mozilla, nicht sicher, nicht vorhanden, object, registry, security, server, smitfraud, software, system, temporäre dateien, tippen, virtumonde, windows, windows security, windows security alert, windows xp, windows xp sp3, xp sp3 |
Baum-Darstellung