teil 5:
-------------------



[U] c:\windows\system32\psisdecd.dll [PX5: CF9BBC570092CFC36A60050E1196EC009D82BFBD]
[U] c:\windows\system32\kbdtuf.dll [PX5: C228153B1096D9041DF1009D50FF6800D52C6382]
[U] c:\windows\system32\kbdtuq.dll [PX5: 224B8A231061CECF1BD800C454899500C2588692]
[U] c:\windows\system32\kbdazel.dll [PX5: 4815374310D6D24219C400F018CB6600EF0FD818]
[U] c:\windows\system32\wstdecod.dll [PX5: 56A7296A000B8B66B8DC0019335F95003BC34D79]
[U] c:\windows\system32\msvidctl.dll [PX5: 710C66080043192654B407E9104F5100B47353CB]
[U] c:\windows\system32\usbui.dll [PX5: 0C97AD8210ACAB85ED1300DE929ABC000E6AAC0A]
[U] c:\windows\system32\fpcibase.sys [PX5: BC62BABA902AEB92D7EE07A7C817290088A7B681]
[U] c:\windows\system32\catsrv.dll [PX5: AF9ED8C110DBE4B687210212933CF50092F4FFF9]
[U] c:\windows\system32\catsrvut.dll [PX5: 0FB5ECA31002653397F708D28BA0FF00D5EFF2AF]
[U] c:\windows\system32\clbcatex.dll [PX5: A29FC7501074F03973C3012DAD64F6002683CBF9]
[U] c:\windows\system32\mtxdm.dll [PX5: 8CE7B9D210F93D165D6600B69C7FB900B0CCFB74]
[U] c:\windows\system32\dtcsetup.exe [PX5: 83E0FEB000C9DC3A4D5C0CEF80BF8B0079BA4CEB]
[U] c:\windows\system32\comsnap.dll [PX5: F941EFF810F200443B8202A2DB4E8100764C1DEE]
[U] c:\windows\system32\msdtctm.dll [PX5: DD7E4DDB10CAF76E1905114B83445C00E0BE1676]
[U] c:\windows\system32\comuid.dll [PX5: 6BABD28A1048EEC485C2094EBD7C3700C5B1244A]
[U] c:\windows\system32\txflog.dll [PX5: 88D3220610904C744909014E27A6720080E97614]
[U] c:\windows\system32\catsrvps.dll [PX5: 9CDE69E610A4FC26D793008B256E2900D0ED99BC]
[U] c:\windows\system32\stclient.dll [PX5: E4ABB63310BC54840B63019F66BA7500D4E3A9F4]
[U] c:\windows\system32\comrepl.dll [PX5: 5B79B7F9104FD0A763460118F82F90007734B19B]
[U] c:\windows\system32\comaddin.dll [PX5: E8C018B8105854F7751E000D3DA9680077832A46]
[U] c:\windows\system32\dcomext.dll [PX5: 15833C1E10DA86DA4B45020327A10200288DDF92]
[U] c:\windows\system32\mtxex.dll [PX5: 2A1D294010C870C40F6700B9DDD23C00B79BCD14]
[U] c:\windows\system32\mtxlegih.dll [PX5: F99A56AF10A05B7B778300FA964D6D00F0BC4BAC]
[U] c:\windows\system32\comclust.exe [PX5: 8F5A256510DA5604550F00DA268584003C3A7165]
[U] c:\windows\system32\colbact.dll [PX5: 2264583310B30722877A00CB7C6B0F00F671A28B]
[U] c:\windows\system32\msdtclog.dll [PX5: 460373EC10255AA367BA01A814CBEB00AF34762D]
[U] c:\windows\system32\xolehlp.dll [PX5: D39020151087B53F4917003B3C2E07000421AD25]
[U] c:\windows\system32\mtxoci.dll [PX5: 404F1913103F3FDCB538018DBFCF7C005AFD45F2]
[U] c:\windows\system32\imgcmn.dll [PX5: C0F00469107FFE53F3DA00A894002D005D99328E]
[U] c:\windows\system32\imgshl.dll [PX5: 9651781010ECC360352F003962280E008F0B8583]
[U] c:\windows\system32\jpeg1x32.dll [PX5: E5747CF6107B65016D1C0054E679D00048876617]
[U] c:\windows\system32\jpeg2x32.dll [PX5: 925810D8108D294395BF00FDC7FD86005E94953B]
[U] c:\windows\system32\oieng400.dll [PX5: E3F1492C10E212E2C7AF06C5D7D94C0064A494A1]
[U] c:\windows\system32\oiprt400.dll [PX5: 012EC51110696ABD33FD008FFD5B25001906EC10]
[U] c:\windows\system32\oiui400.dll [PX5: CF3B115D1083BD0CF7CC00EFC0CCE3008BED144B]
[U] c:\windows\system32\oissq400.dll [PX5: 15A5B057100C0D6E33510019B4264D0015BCFCF3]
[U] c:\windows\system32\oitwa400.dll [PX5: 7B2C60DB10BE59CB65600088C144E2005183FE91]
[U] c:\windows\system32\oislb400.dll [PX5: 1EC5810F10287A68552500A20AFA620073AF2D4E]
[U] c:\windows\system32\xiffr3_0.dll [PX5: 86F42CDB1026AFBACB3E09A54D33CF005E028254]
[U] c:\windows\system32\tifflt.dll [PX5: 7B0E4E851085C4CC83EB00B252410B00A9244D6F]
[U] c:\windows\system32\imgadmin.ocx [PX5: 35D94BC2104CDDFE9551019BC26E3B00CCB0F9F4]
[U] c:\windows\system32\imgedit.ocx [PX5: 6774FF51103CEA80B9DD04494009450006B22E28]
[U] c:\windows\system32\imgthumb.ocx [PX5: 069E93B21076BC03A995014D00F5590079008EA2]
[U] c:\windows\system32\imgscan.ocx [PX5: A2E851061020C088CF730127EA088400FFF5C1A4]
[U] c:\windows\system32\freecell.exe [PX5: 15B2D6DD1044AE0987B900BD2579C100CE04FFF1]
[U] c:\windows\system32\winmine.exe [PX5: 8CE26EBE10901EFC7B4501F6DF197100B10A9429]
[U] c:\windows\system32\sol.exe [PX5: 91ED935910FF3E6F877400FBEC914900DA1D04A3]
[U] c:\windows\system32\calc.exe [PX5: EBE5DEE0109983F4672401A95E5D610075650F1C]
[U] c:\windows\system32\charmap.exe [PX5: 992460E410CFEF3963730176954D74005753F4C6]
[U] c:\windows\system32\getuname.dll [PX5: D36A058E1061783361D007FD15E02D003A800097]
[U] c:\windows\system32\clipbrd.exe [PX5: 9632E7F110252533896F01C6D5EE9200F85AF598]
[U] c:\windows\system32\packager.exe [PX5: 67015C3810618B6ED53200C1295B35007D27FD25]
[U] c:\windows\system32\mspaint.exe [PX5: 0759ED8810CC364EE90D04A3007D7C005FAD7B0B]
[U] c:\windows\system32\winchat.exe [PX5: 39D18155103E22F9097001A06FC5E0007B9D64A2]
[U] c:\windows\system32\avtapi.dll [PX5: 96A1099010D03700859C03314272BB00102227CE]
[U] c:\windows\system32\avmeter.dll [PX5: D7F1BEE810D65C7B43600097A4043B0086EBE704]
[U] c:\windows\system32\avwav.dll [PX5: 40C25429101B50C129300169CF65BC00AE1D6DE6]
[U] c:\windows\system32\hypertrm.dll [PX5: 79EDD95B10230C19D7BC08318E7E3900E0577306]
[U] c:\windows\system32\cdplayer.exe [PX5: 76DB9AC0100D27AD2D1E055F08D630008C62788F]
[U] c:\windows\system32\mplay32.exe [PX5: 206D8D6B107EA148D1060182819C3500D052EBD2]
[U] c:\windows\system32\sndrec32.exe [PX5: 2F9A1A8110F10EF0A91501E10DCF8600FCCD490D]
[U] c:\windows\system32\sndvol32.exe [PX5: 1570F5DC105873400D6801BD1AF07D00DE7BD85F]
[U] c:\windows\system32\mfcoleui.dll [PX5: 8091C2D220AE699E3E1A024BC6668E008F7CCF8C]
[U] c:\windows\system32\hccoin.dll [PX5: 981CAE10109AF897197E00C7ADDE6A003BE4487A]
[U] c:\windows\system32\ksuser.dll [PX5: 59CA96C300651EAD10CE00E3E8ECA900B79BCD14]
[U] c:\windows\system32\udaprop.dll [PX5: 3078798A00771C10805F0068B47EFD00F6E8CE88]
[U] c:\windows\system32\cmuda.dll [PX5: 981CABD8005EB187C06F0163806C7600AC42D760]
[U] c:\windows\system32\cmirmdrv.dll [PX5: 102EEDAF0075CA65706000C7FD1119006903D027]
[U] c:\windows\system32\cmirmdrv.exe [PX5: DFE6921400A3F8E4906D03C2F868D8000AC1DFB3]
[U] c:\windows\system32\a3d.dll [PX5: 2AA1E2A2008F7E65E0FE0AAEB983520092AB59BC]
[U] c:\windows\system32\audio3d.dll [PX5: 2AA1E2A2008F7E65E0FE0AAEB983520092AB59BC]
[U] c:\windows\system32\genusb.sys [PX5: 3900C37D30B2B3D976CD005D6C9EDC00CEE4516B]
[U] c:\windows\system32\genusb_x64.sys [64] [PX5: 433DE9B8303DC08692000089F9C28E00C6BA1FB8]


End of Prevx Scan Log - http://www.prevx.com

so das war´s

Gruß

Hallo Chris, sorry

habe da wahrscheinlich was falsch gelesen,
also das programm Prevx Scan Log - Version v3.0.1.17
hat nichts gefunden,
stand da "clean"

nochwas ich benutze eigentlich ausschließlich firefox 3,0
dem ie habe ich noch nie getraut
ab und an noch den alten netscape
habe ie 6,0 da, könnte ich installieren,
weitere programme erst in ca. 2 Wochen wenn ich wieder am dsl bin
hier läuft alles mit 6 kb/s
habe asc-setup.exe ausgeführt, hat einiges repariert,
aber die datei *.excel geht immer noch nicht,
mache ich halt auf dem anderen rechner.
habe versucht, den virenscanner aggressiv einzustellen,
Hijackthis, fixen:
ging nicht, wusste nicht wo die Einstellungen gemacht werden:

antivir hat dann noch was gefunden,
hier bericht :
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. Februar 2009 19:30

Es wird nach 1038808 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 1) [5.0.2195]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ROLF

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:24
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:08
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:18
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:44
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 16:57:14
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16.11.2008 16:16:48
ANTIVIR3.VDF : 7.1.0.97 45056 Bytes 17.11.2008 16:39:00
Engineversion : 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:58
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 14:00:08
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:42
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:40
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:40
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 15:06:42
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 15:06:42
AEHELP.DLL : 8.1.1.3 119157 Bytes 07.11.2008 15:06:42
AEGEN.DLL : 8.1.1.0 319859 Bytes 07.11.2008 15:06:42
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:58
AECORE.DLL : 8.1.4.1 172405 Bytes 07.11.2008 15:06:42
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:58
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:04
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:28:00
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:16
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:38
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:20
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:48
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:04
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:38
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:08
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:02
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox,

+MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 24. Februar 2009 19:30

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppfw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTBSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spfirewallsvc.e' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '22' Prozesse mit '22' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Desktop\Sonderprogr\mp4-win2000\MP4VideoPlayer32.exe
[0] Archivtyp: NSIS
--> [ProgramFilesDir]/MP4 Video Player/IECodecPl.dll
[FUND] Enthält verdächtigen Code: HEUR/Malware
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49d8418d.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Dienstag, 24. Februar 2009 20:01
Benötigte Zeit: 31:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3596 Verzeichnisse wurden überprüft
362533 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
362531 Dateien ohne Befall
14490 Archive wurden durchsucht
1 Warnungen
1 Hinweise

gruß rolf

Hi,

wo hast Du die Excel-Datei her?
-> http://www.computerwoche.de/knowledge_center/security/1888143/
Es gibt da eine Zero-Day-Lücke;

HJ-fixen:
Starten -> Do a systemscan only -> vor die genannten Zeilen einen Hacken setzten, dann ->Fix checked (ev. Sicherheitsabfragen ->ja), Rechner neu booten...

Neues HJ-Log posten....

chris

http://www.din1055.de/din0/index.php/content/view/39/66/
= exel datei

Hallo
chris

Ja, so habe ich es jetzt versucht,
habe ca. 25 kreuze gemacht, hat dauernd was gefragt, habe immer ja gedrückt,
hat aber dann error.... gemeldet...
das ganzen nochmal mit dann noch ca. 10 kreuzen,
hat irgend was gemacht, 2 x neu gestartet,
aber keine log datei gefunden nur die alte war noch da von gestern. ????

die excel datei läuft auf dem anderen rechner gut, hier ging sie auch schon mal
ist ein programm zur Schneelastermittlung fürs Bauwesen...
gruß Rolf

Hi,

nur die folgenden Einträge mit HJ-fixen:

Code: Alles auswählenAufklappen

ATTFilter

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
         

Welchen Fehler bringt HJ?

Hast Du die Datei "wmsoft47824.exe" gelöscht, hat der Scan mit der "verschärften" Avira-Einstellungen noch was gefunden?

Hast Du versucht das System mit "Advanced Windowscare Professional" auf Vordermann zu bringen?

chris

guten morgen chris

alles nochmal mit den 2 werten gefixt, ging ohne problem,
aber wo schreibt er das hin ?

also alle viren ( wmsoft47824.exe und 1 dll mit backdoor in einem Videoprogramm) gelöscht,

-Hast Du versucht das System mit "Advanced Windowscare Professional" auf Vordermann zu bringen?- ja,

außerdem noch registry cleaner ausgeführt,
eigentlich läuft das system, bei online wenn keine anforderung vorliegt, sendet oder empfängt er auch nicht mehr, das hatte mich sowieso immer gewundert,
das er selbständig online was macht...
alles nochmal überprüft. 360000 dateien
clear.

Winword deinstalliert, registry gelöscht.
komplett neu aufgesetzt, mit key usw.
die exceldatei neu runtergeladen und geht hier wieder nicht,
habe sowieso selbst eins geschrieben, das geht wenigstens,

hatte nur ein Problem, nach der komplettfixxung
war nichts mehr im autostart, habe erst mal ein paar verknüpfungen
reingetan..

vielleicht lege ich mir einfach noch einen pc zu,
und baue den von Grundauf neu auf,
der alte ist mit 900 MH ec. zu langsam, aber stabil,
auf den kann man sich verlassen und der hängt nicht am internet.

Gruß Rolf

Hi,

Avenger legt hier ein Backup an:
C:\avenger\backup.zip
und HJ sollte seine Backupfiles in dem Verzeichnis erzeugen,
wo auch er selbst liegt.
Wenn alles läuft, können die gelöscht werden.

Wieso WinWord neu installieren, wenn Excel klemmt? Oder ist das die Works-Suite?

chris

hallo Chris
-- HJ sollte seine Backupfiles in dem Verzeichnis erzeugen,
wo auch er selbst liegt.--
macht er nur beim button ...+ save a logfile
sonst nicht,
Winword ist auf office 2000 drauf da ist auch excel,
deshalb, sehe ich nicht so verbissen,
jetzt hat sich erst mal meine isdn anlage
zerstört, mich kann nichts mehr aufregen,
sonst läuft alles
und erst mal viel dazugelernt,
hoffentlich bleibt das bei mir im Speicher
Gruß Rolf