|
cydoor spyware eingefangen Hallo zusammen Habe mir was eingefangen. Hier die scans von HJT und e-scan. Wäre cool, wenn sich dies jemand anschauen kann. Grüsse Joyful *************************** Logfile of HijackThis v1.99.1 Scan saved at 12:01:46, on 19.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.euro.dell.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400" O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Logitech Desktop Messenger Agent.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125961586296 O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - h**p://web1.photocolor.net/ActiveX/PhotocolorUploader.cab O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - h**p://secure2.comned.com/signuptemplates/securelogin-devel.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: cablecom hispeed security package (BackWeb Plug-in - 9038346) - Unknown owner - C:\PROGRA~1\CABLEC~1\backweb\9038346\Program\SERVIC~1.EXE O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\cablecom hispeed security package\backweb\9038346\program\fsbwsys.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe *************************** infected Sat Aug 19 11:45:34 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Sat Aug 19 11:45:34 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Sat Aug 19 11:45:34 2006 => Loading Spyware Signatures from new External Database (Size: 161867). Sat Aug 19 11:45:36 2006 => Indexed Spyware Databases Successfully Created... Sat Aug 19 11:45:38 2006 => Offending Key found: HKCU\Software\searchtoolbar !!! Sat Aug 19 11:45:38 2006 => Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Sat Aug 19 11:45:39 2006 => Offending file found: C:\WINDOWS\system32\libeay32_1-1-0_ddr.dll Sat Aug 19 11:45:39 2006 => System found infected with cydoor Spyware/Adware (libeay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 11:45:39 2006 => Offending file found: C:\WINDOWS\system32\ssleay32_1-1-0_ddr.dll Sat Aug 19 11:45:39 2006 => System found infected with cydoor Spyware/Adware (ssleay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 11:45:39 2006 => Offending file found: C:\WINDOWS\system32\stlport_4_0_0_ddr.dll Sat Aug 19 11:45:39 2006 => System found infected with cydoor Spyware/Adware (stlport_4_0_0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 11:45:39 2006 => Offending file found: C:\WINDOWS\system32\xerces-c_1_40_0_ddr.dll Sat Aug 19 11:45:39 2006 => System found infected with cydoor Spyware/Adware (xerces-c_1_40_0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 11:45:46 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 11:45:46 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 11:45:47 2006 => Offending file found: C:\WINDOWS\rdt.ini Sat Aug 19 11:45:47 2006 => System found infected with wareout Adware (C:\WINDOWS\rdt.ini)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 11:45:47 2006 => Offending file found: C:\WINDOWS\system32\loadctr32.exe Sat Aug 19 11:45:47 2006 => System found infected with wareout Adware (C:\WINDOWS\system32\loadctr32.exe)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:13:44 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Sat Aug 19 12:13:45 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Sat Aug 19 12:13:45 2006 => Loading Spyware Signatures from new External Database (Size: 161867). Sat Aug 19 12:13:45 2006 => Indexed Spyware Databases Successfully Created... Sat Aug 19 12:25:18 2006 => Offending file found: C:\WINDOWS\system32\libeay32_1-1-0_ddr.dll Sat Aug 19 12:25:18 2006 => System found infected with cydoor Spyware/Adware (libeay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:25:18 2006 => Offending file found: C:\WINDOWS\system32\ssleay32_1-1-0_ddr.dll Sat Aug 19 12:25:18 2006 => System found infected with cydoor Spyware/Adware (ssleay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:25:18 2006 => Offending file found: C:\WINDOWS\system32\stlport_4_0_0_ddr.dll Sat Aug 19 12:25:18 2006 => System found infected with cydoor Spyware/Adware (stlport_4_0_0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:25:18 2006 => Offending file found: C:\WINDOWS\system32\xerces-c_1_40_0_ddr.dll Sat Aug 19 12:25:18 2006 => System found infected with cydoor Spyware/Adware (xerces-c_1_40_0_ddr.dll)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:25:22 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:25:22 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:25:23 2006 => Offending file found: C:\WINDOWS\rdt.ini Sat Aug 19 12:25:23 2006 => System found infected with wareout Adware (C:\WINDOWS\rdt.ini)! Action taken: Keine Aktion vorgenommen. Sat Aug 19 12:25:23 2006 => Offending file found: C:\WINDOWS\system32\loadctr32.exe Sat Aug 19 12:25:23 2006 => System found infected with wareout Adware (C:\WINDOWS\system32\loadctr32.exe)! Action taken: Keine Aktion vorgenommen. summary Sat Aug 19 13:44:38 2006 => ***** Überprüfe spezielle ITW Viren ***** Sat Aug 19 13:44:38 2006 => Überprüfe auf Welchia Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf LovGate Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf CodeRed Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf OpaServ Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Sobig.e Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Winupie Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Swen Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf JS.Fortnight Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Novarg Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Pagabot Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Parite.b Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Parite.a Virus... Sat Aug 19 13:44:38 2006 => Überprüfe auf Adware.SeekSeek Virus... Sat Aug 19 13:44:38 2006 => ***** Scan vollständig. ***** Sat Aug 19 13:44:38 2006 => Gescannte Dateien: 68800 Sat Aug 19 13:44:38 2006 => Gefundene Viren: 8 Sat Aug 19 13:44:38 2006 => Anzahl der desinfizierten Dateien: 0 Sat Aug 19 13:44:38 2006 => Umbenannte Dateien: 0 Sat Aug 19 13:44:38 2006 => Anzahl der gelöschten Dateien: 0 Sat Aug 19 13:44:38 2006 => Anzahl Fehler: 2 Sat Aug 19 13:44:38 2006 => Dauer des Scans bisher: 01:31:30 Sat Aug 19 13:44:38 2006 => Virus-Datenbank Datum: 8/19/2006 Sat Aug 19 13:44:38 2006 => Virus-Datenbank Zähler: 208118 Sat Aug 19 13:44:38 2006 => Scan vollständig. |
Hallo, da es sehr schwierig ist eine WAREOUT Infektion zu bereinigen, kann ich dir nicht viel Erfolg versprechen! Aber ein Versuch ist es mir wert, es ist in deinem Hijacklog noch nicht ersichtlich das WAREOUT aktiv ist! 1.) Entscheide dich für einen Virenscanner, zwei gleichzeitig behindern sich wahrschenlich nur! 2.) Deaktiviere die Systemwiederherstellung -> So wirds gemacht! 3.) suche (sofern vorhanden!) folgende Ordner und lösche ihn/sie: c:\Program Files\WareOut oder c:\Programme\WareOut 4.) Scanne dein System mit F-Secure Blacklight Poste anschliessend den Report der .txt Datei 5.) Lass dann folgende Tools dein System scannen: *Ad-Aware und SmitfraudFix Poste auch in diesem Fall das Log von SmitfraudFix! Gruß Sunny |
Danke Sunny, dass Du mir ne Chance gibst. 1) Habe nur Ad-Aware laufen gelassen, Ergebnis vgl. 5) 2) gemacht 3) waren keine vorhanden, somit nichts zu löschen 4) F-secure blacklight log *************************** 08/19/06 20:13:57 [Info]: BlackLight Engine 1.0.46 initialized 08/19/06 20:13:57 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/19/06 20:13:57 [Note]: 7019 4 08/19/06 20:13:57 [Note]: 7005 0 08/19/06 20:14:00 [Note]: 7006 0 08/19/06 20:14:00 [Note]: 7011 368 08/19/06 20:14:00 [Note]: 7026 0 08/19/06 20:14:00 [Note]: 7026 0 08/19/06 20:14:07 [Note]: FSRAW library version 1.7.1019 08/19/06 20:17:15 [Note]: 7007 0 *************************** 5) Ergebnis Ad-Aware scan *************************** critical objects (WareOut) C:\WINDOWS\system32\loadctr32.exe *************************** Ergebnis SmitfraudFix Musste Programm im abgesicherten Modus ausführen, weil im normalen Modus funktionierte es nicht. Die reboot Datei wurde immer wieder automatisch aus dem Ordner entfernt und liess sich nicht manuell reinkopieren. *************************** SmitFraudFix v2.81 Scan done at 21:15:50,28, 19.08.2006 Run from C:\Programme\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End *************************** |
Aus deinem Report von eScan, solltest du zusätzlich nochmal alle infizierten Datei suchen und löschen. (nutze wenn nicht anders möglich die KILLBOX!) Scanne nachdem du alle beanstandeten Dateien gelöscht hast nochmal dein System mit eScan, nutze hierfür folgende Anleitung -> MWAV Wenn du auf der Downloadseite von MWAV bist, lade dir nicht den ersten AV-Scanner, sondern scrolle bis ganz nach unten und nimm den letzten (sofern ich mich errinere!). Poste anschliessend das Ergebnis mit Hilfe der "find.bat", lies dir dazu ganz genau und Schritt für Schritt die ANleitung zu diesem Thema durch.. Gruß Sunny |
Hi Sunny Seh ich ein Licht am Ende des Tunnels, muss es Sunny sein...oder freue ich mich zu früh? Habe infizierten Dateien gemäss eScan report gelöscht (killbox war nicht nötig). Die cfd.exe habe ich stehen gelassen, weil ich mich an folgendes erinnerte: Zitat:
The cfd.exe program is a tool used to diagnose problems when attempting to install a new broadband connection to the internet. If you do not use broadband, or your broadband connection is configured and working, it is not needed and so can be uninstalled. cfd.exe is an application that does NOT appear to be a security risk but inaccuracies may still exist, often caused by viruses named after valid files such as Broadjump Client Foundation. Always verify your results just to play it safe. Sicherheitshalber werde ich cfd.exe auch löschen, weil mir inzwischen klar ist, dass I-net danach funktionstüchtig bleibt, weil die Datei bloss zu remote Zwecken benötigt wird. Und hier noch das Ergebnis der find.bat-Analyse: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 19 23:28:31 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken. Sat Aug 19 23:28:31 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken. Sat Aug 19 23:42:33 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken. Sat Aug 19 23:42:33 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken. Sun Aug 20 07:31:01 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken. Sun Aug 20 07:31:01 2006 => System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sat Aug 19 23:45:03 2006 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für SmitfraudFix.zip\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken. Sat Aug 19 23:46:27 2006 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für SmitfraudFix.zip\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken. Sun Aug 20 08:24:03 2006 => File C:\Programme\SmitfraudFix\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 19 23:57:39 2006 => Total Virus(es) Found: 4 Sun Aug 20 08:51:22 2006 => Total Virus(es) Found: 3 Sat Aug 19 23:29:26 2006 => Total Errors: 0 Sat Aug 19 23:57:39 2006 => Total Errors: 0 Sun Aug 20 08:51:22 2006 => Total Errors: 0 Sat Aug 19 23:29:26 2006 => Time Elapsed: 00:01:23 Sat Aug 19 23:57:39 2006 => Time Elapsed: 00:21:18 Sun Aug 20 08:51:22 2006 => Time Elapsed: 01:21:15 Sat Aug 19 23:29:26 2006 => Total Objects Scanned: 15079 Sat Aug 19 23:57:39 2006 => Total Objects Scanned: 24683 Sun Aug 20 08:51:22 2006 => Total Objects Scanned: 69511 Sat Aug 19 23:29:26 2006 => Virus Database Date: 8/19/2006 Sat Aug 19 23:31:06 2006 => Virus Database Date: 8/19/2006 Sat Aug 19 23:35:25 2006 => Virus Database Date: 8/19/2006 Sat Aug 19 23:57:39 2006 => Virus Database Date: 8/19/2006 Sat Aug 19 23:57:42 2006 => Virus Database Date: 8/19/2006 Sun Aug 20 07:29:25 2006 => Virus Database Date: 8/19/2006 Sun Aug 20 08:51:22 2006 => Virus Database Date: 8/19/2006 Sun Aug 20 09:38:09 2006 => Virus Database Date: 8/19/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -------------------------------------------------- C:\Bases_X\LOG\MWAV.LOG -------------------------------------------------- Grüsse Joyful |
Hallo erstmal Habe zwischenzeitlich das BroadJump Programm deinstalliert. Lasse nochmals e-scan rattern und poste dann nochmals das Ergebnis der find.bat. Werde mir, wenn alles wieder sauber ist, brain.exe anschaffen, anstelle hirnlos herum zu klicken :D cu Joyful |
Tja, habe eben festgestellt, dass bei der Deinstallation (normaler modus) die Registrierung nicht geändert wurde, bzw. durch Spybot verhindert wurde. HKEY_CLASSES_ROOT\AppID\cfd.exe - kann ich den manuell löschen? Danke für die Info Grüsse Joyful |
Hallo zusammen Ich habe 1) die neue find.bat-Analyse und 2) das neue HJT-log geposted. Es sieht in meinen Augen okay aus, bzw. Sunny's Festellungen zum wareout und cydoor konnten bereinigt werden - kriege ich grünes Licht, mit diesem PC wieder online zu gehen? Danke bereits jetzt für die Info. Cheers Joyful 1) find.bat ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Wed Aug 23 09:38:38 2006 => File C:\Programme\SmitfraudFix\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Aug 23 10:05:47 2006 => Total Virus(es) Found: 1 Wed Aug 23 10:05:47 2006 => Total Errors: 0 Wed Aug 23 10:05:47 2006 => Time Elapsed: 01:17:52 Wed Aug 23 10:05:47 2006 => Total Objects Scanned: 69323 Wed Aug 23 10:05:47 2006 => Virus Database Date: 8/21/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -------------------------------------------------- C:\Bases_X\LOG\MWAV.LOG -------------------------------------------------- 2) HJT-log Logfile of HijackThis v1.99.1 Scan saved at 12:15:04, on 23.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Bases_X\TRAYICOS.EXE C:\Bases_X\AVPMWrap.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Bases_X\AvpM.exe C:\DOKUME~1\**Z~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400" O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [eScan Updater] C:\Bases_X\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\Bases_X\AVPMWrap.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE O4 - Global Startup: Logitech Desktop Messenger Agent.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Dictionary - h**p://www.ezreference.com/_/ie-com-sp.htm O8 - Extra context menu item: &Encyclopedia - h**p://www.ezreference.com/_/ie-com-e-sp.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125961586296 O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - h**p://web1.photocolor.net/ActiveX/PhotocolorUploader.cab O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - h**p://secure2.comned.com/signuptemplates/securelogin-devel.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: cablecom hispeed security package (BackWeb Plug-in - 9038346) - Unknown owner - C:\PROGRA~1\CABLEC~1\backweb\9038346\Program\SERVIC~1.EXE O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\Bases_X\TRAYSSER.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\cablecom hispeed security package\backweb\9038346\program\fsbwsys.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Bases_X\avpm.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
Hallo zusammen Ich habe alles üble wie oben beschrieben entfernt und soweit ich das beurteilen kann, ist das System sauber. Zusätzlich habe ich F-Secure Anti Virus installiert und wollte dann auch die Systemwiederherstellung wieder aktivieren. Aber die Systemwiederherstellungsregisterkarte ist nicht mehr da! Wie kann das sein? Ich habe gegoogelt, aber kein vergleichbares Problem gefunden. Das macht mich nicht nur ratlos, sondern beunruhigt mich auch. Wäre dankbar, wenn ich hierzu Unterstützung kriege :confused: Grüsse Joyful |
@joyful Nur mit administrativen Rechten erscheint die Registerkarte "Systemwiederherstellung". Falls du aber administrative Rechte hast, schau mal unten links bei START ---> alle programme ---> zubehör ---> systemprogramme ---> systemwiederherstellung Oder, noch schärfer: Im Normalfall findest du die exe unter c:/windows/system32/restore/rstrui.exe. Diese exe führt die systemwiederherstellung direkt aus. PP |
Danke für die Hilfe, PeterPan. Ich bin mit administrativen Rechten angemeldet (Computeradministrator) und a) die Registerkarte "Systemwiederherstellung" fehlt während b) START ---> alle programme ---> zubehör ---> systemprogramme ---> systemwiederherstellung und c) c:/windows/system32/restore/rstrui.exe zu folgender Meldung führen: "die Systemwiederherstellung kann den Computer nicht sichern. Starten Sie neu und führen Sie die Systemwiederherstellung erneut aus." Vermutlich habe ich damals die Systemwiederherstellung im abgesicherten Modus deaktiviert. Ist es möglich, dass ich so die ganze Funktion eliminiert habe, weil die Registerkarte gibt es sowohl im abgesicherten als auch im normalen Modus nicht. Ich will das System zur Zeit nicht wiederherstellen, sondern bloss die Box zur Systemwiederherstellung markieren...und die ist nicht zu finden. Grüsse Joyful |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board