Bitte HJT Log checken
 

Hallo zusammen.

Bin gerade erst aus dem Urlaub zurück und wollte mich mal um die Videos kümmern. Beim suchen eines Video tools bin ich auf eine ganz böse Seite (nicht Jugenfrei) geraten. Und da war es auch schon passiert.

Habe danach den AntVir laufen lassen aber war nicht so der renner. Danach bekam ich die Meldung das im hintergrund meine WIN XP Distribution, oder so rumkopiert wird. Da habe ich erst mal das Netz getrennt.
Mit einem anderen rechner habe ich in Google einen Eintrag gefunden das der Trojaner den ich hatte mit SPyDoctor und AdAware repariert werden kann.

Dies schein auch funktionier zu haben, aber nun zu den eigentlichen Problemen.

Seit her ist unter diesem Nutzer kein WINupdate mehr möglich, die Systemsteuerung gibt es auch nicht mehr und ich bekomme die Meldung, dass SW24.exe nicht starten kann und das dies an Mircosoft gemeldet werden möge.

Darum nun die Bitte, kann sich jemand mal die HJT log anschauen und mir mitteilen was hier nicht in Ordunung ist.

Habe bereits selbst versucht da mal ranzugehen, muß aber gestehen da fehlt es doch an Erfahrung und Wissen.

Danke,
Siul.

PS: Ich hoffe das der EIntrag nicht doppelt ist, da gerade beim posten der mein IE-Browser abgetürtzt ist.


Hier das HJT log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:00, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gembird\Power Manager\pm.exe
C:\WINDOWS\emMon.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\wincmd\WINCMD32.EXE
C:\Programme\Gemeinsame Dateien\AOL\1177655685\ee\AOLSoftware.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Power Manager] "C:\Programme\Gembird\Power Manager\pm.exe" -winstartup
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177655685\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Run: [NI.UWA7PU_0001_N96M1007] "C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\winantiviruspro2007freeinstall_de[1].exe" -nag
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} (ClientControl Class) - h**p://192.168.178.23/plugin/client.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - h**p://192.168.178.23/plugin/h263ctrl.cab
O20 - AppInit_DLLs: hadjajr.ini
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 8406 bytes

Ich weiß ja nicht, wer dir erzählt hat, der Rechner sei wieder sauber, aber er hat auf jedenfall gelogen. ;)
Das sind alles nicht deine Freunde. ;)

Ist das hier gewollt?
Wenn nicht hast du wahrscheinlich noch was größeres an Board!

Lade dir bitte erstmal Smitfraudfix runter und führe im abgesicherten Modus einmal die Option 2 durch.
Erstelle dann ein neues Hijackthislg und poste den Inhalt der C:\rapport.txt :)

lg myrtille

Das noch was an Board ist war mir eigentlich bewusst, nur wo und was nicht.
Danke, für den Tip werde dies heute Abend (home) erledigen und mich mit neuem hjtlog und rapport.txt wieder melden. :daumenhoc

Danke,
-Siul

Hallo.

Nun ja, dass hatte ich mir doch anders vorgestellt. :heulen:

Nachdem ich meinen rechner heute Abend hochgefahren habe bekomme ich prompt die Meldung von AntiVir das zwei Trojaner on board sind. Es handelt sich dabei um,

1. c:\windows\system32\hadjajr.ini
TR/Qhost.MY.1
2. d:\work\1\system.exe
TR/Agent.16896

Ich konnte den Rechner erst mal mittels AntiVir ruhig stellen und dann in Safe Mode hochfahren. :aplaus:

Hier der rapport und der neue hjt.

Ich bitte dringenst um hilfe, denn ich habe das Gefühl der AntiVir bekommt das nicht in den Griff.

Ach ja, nach dem wieder hochfahren erscheint erst mal alles wieder ok, "erscheint" denn einige von myrtille erwähnten Einträge sind nach wie vor vorhanden.

Danke,
-Siul.

SmitFraudFix v2.217

Scan done at 18:14:54,35, 28.08.2007
Run from D:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 engine.awaps.net
192.168.200.3 fastclick.net
192.168.200.3 media.fastclick.net
192.168.200.3 spd.atdmt.com
192.168.200.3 virusscan.jotti.org
192.168.200.3 www.awaps.net
192.168.200.3 www.fastclick.net

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\printer.exe Deleted
C:\WINDOWS\system32\vtr???.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:24:37, on 28.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gembird\Power Manager\pm.exe
C:\WINDOWS\emMon.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\AOL\1177655685\ee\AOLSoftware.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\wincmd\WINCMD32.EXE
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Power Manager] "C:\Programme\Gembird\Power Manager\pm.exe" -winstartup
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177655685\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [NI.UWA7PU_0001_N96M1007] "C:\Dokumente und Einstellungen\****\Anwendungsdaten\winantiviruspro2007freeinstall_de[1].exe" -nag
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} (ClientControl Class) - h**p://192.168.178.23/plugin/client.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - h**p://192.168.178.23/plugin/h263ctrl.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 8259 bytes

Hi,
eigentlich hätte das funktionieren sollen, allerdings hast du wie gesagt mehrere Infektionen an Bord, sodass das Tool evtl behindert wird.

Versuch es einfach nochmal indem du in den abgesicherten Modus gehst, dort erst folgende Datei löschst:
Dann Hijackthis aufrufst und den Eintrag fixst:
Und dann nochmal Smitfraudfix mit der Option2 durchlaufen lässt.

Den Rapport hier posten. Danach würde ich gern noch einen eScan und 2-3 kleinere Überprüfungen machen, damit wir nachschauen können ob nicht mehr aufm Rechner ist.
Teile mir bitte auch mit, ob sich die anderen Probleme gelöst/verändert haben.

Das wichtigste vergessen. :balla:
Was kannst du mir über diese Einträge sagen:
Hast du oder jemand der auch Zugang zum Rechner hat das eingegeben? Wenn ja wieso?


lg myrtille

Hi myrtille, erst mal vielen Dank für deine Unterstützung.

Werde dies heute Abend erlediegen und die gewünschten Infos posten.

Zu diesen Dateien vermute ich, dass die von online Abrechnung kommt. Musicdownload via Itunes.

Danke,
-Siul.

Was eindeutig zeigt, dass die Einträge nicht von euch sind. ;)
Das sind keine Dateien sondern Einträge in die hosts-Datei, die dafür sorgen sollen, dass ihr nicht mehr auf bestimmte Internetseiten, in diesem Fall Internetseiten von Antivirenprogrammen und ähnlichem zugreifen könnt.
Hab gestern nochmal nachgeschaut:
Diese Art der Infektion sollte von Smitfraudfix gelöscht werden. Einige relevante Einträge dürften auch schon entfernt worden sein.

Mehr dann heute abend. :D

lg myritlle

Hallo myrtille.

Heute ist ein guter Tag, win start und online etc. ohne irgendwelche AV Warnungen.
Aber im safe mode ging alles sehr zäh.

Ach ja, zwichen dem rapport log und dem hjt log ist ein boot, in safe mode.
Wurde so von smitfraudfix angeboten.

Danke im voraus,
-Siul.

Nun, hier meine Aktionen:

Es hat alles soweit funktioniert bis auf das entfernen der Datei
da diese nicht mehr vorhanden war.

Habe dann trotz allem mit hijachthis, den EIntrag
gefixed.

Danach,
frischer rapport und hjt log wie folgt.


SmitFraudFix v2.217

Scan done at 17:31:30,53, 29.08.2007
Run from D:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 engine.awaps.net
192.168.200.3 fastclick.net
192.168.200.3 media.fastclick.net
192.168.200.3 spd.atdmt.com
192.168.200.3 virusscan.jotti.org
192.168.200.3 www.awaps.net
192.168.200.3 www.fastclick.net

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:22, on 29.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Power Manager] "C:\Programme\Gembird\Power Manager\pm.exe" -winstartup
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177655685\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} (ClientControl Class) - h**p://192.168.178.23/plugin/client.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - h**p://192.168.178.23/plugin/h263ctrl.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 5922 bytes

Das sieht doch schonmal ganz gut aus.

Nur deine Hostsdatei muss noch bereinigt werden.

Gehe zur Datei C:\Windws\system32\drivers\etc\hosts und öffne sie per Rechtsklick und "öffnen mit" und wähle einen editor aus.

Dann einfach all die Einträge löschen:
Meines Erachtens dürften allerdings noch Reste der Spyware auf deinem Rechner sien, sonst müssten die Einträge bereits gelöscht sein.

Daher würde ich dich bitten noch einen eScan
zu machen und das Ergebnis der find.bat hier zu posten.

lg myrtille

OK, werde ich machen.

Ich musste auch gerade feststellen, dass meine Systemsteuerung wieder vorhanden ist.:)

Erst mal ein lob an myrtille.

LOB.

Danke, -Siul.

Das hast du alles Smitfraudfix und damit S!Ri zu verdanken. :)
Deine Windowsupdates etc sollten übrigens auch wieder funktionieren. :) (Genauso wie der Taskmanager und regedit ;))

Ich erwarte dann mal die weiteren Ergebnisse. :)

lg myrtille

Hallo.

Also der eSCAN ergab,
Gefundene Viren = 10 :eek:
Anzahl der Fehler = 45 :(

Aber sonst, soweit ICH es übersehen kann funktioniert soweit alles.

Aber da sehe ich noch,
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V24ZNDCP\CAYBW9YN.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{1A56897E-4F73-41E7-8C52-213EF3D51880}\RP310\A0088976.ini infiziert von "Trojan.Win32.Qhost.my" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.


Hier der output von der find.bat
Sollte da noch was nicht ok sein, nur keine Scheu, bin ja für viel zu haben.


Danke, Siul.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 8/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V24ZNDCP\CAYBW9YN.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{1A56897E-4F73-41E7-8C52-213EF3D51880}\RP310\A0088976.ini infiziert von "Trojan.Win32.Qhost.my" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\System Volume Information\_restore{1A56897E-4F73-41E7-8C52-213EF3D51880}\RP307\A0088539.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Eigene Dateien\****\Privat\Progr & zips\VNC gettingstarted\VNC gettingstarted.zip/vnc-3.3.7-x86_win32.exe//data0002 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei D:\Eigene Dateien\****\Privat\Progr & zips\VNC gettingstarted\vnc-3.3.7-x86_win32.exe//data0002 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
File D:\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\work\1\WinAntiVirusPro2007FreeInstall_de.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\work\1\winantiviruspro2007freeinstall_de[1].exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Gemeinsame Dateien\aol\System Information\sysres.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{1A56897E-4F73-41E7-8C52-213EF3D51880}\RP292\A0085384.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 121712
Gefundene Viren: 10
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 45
Dauer des Scans bisher: 01:17:45
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:08:12,56
Batchende: 20:08:30,06

Scheint alles nicht so tragisch:

Lösche als erstes die Dateien:
Gehe dann unter Start->Systemsteuerung->System->Systemwiederherstellung
und setze dort den Haken bei "Sytemwiederherstellung auf allen Laufwerken deaktivieren". Fahre dann den Rechner runter und warte einen Augenblick bevor du ihn erneut startest. (Koch dir ne Tasse Tee ;))
Damit sind folgende Einträge schonmal weg:
Dann empfehle ich dir noch den atf-cleaner laufen zu lassen um die Tempdateien zu löschen.

Wie siehts mit deiner Hostsdatei aus? Was steht da drin?

lg myritlle

myrtille,

alles super gelaufen. :daumenhoc

Die Host ist leer, der atf-cleaner hat 353MB temp Dateien (mit select all) freigemacht.

Was soll ich sagen? Ich bin beindruckt. DANKE.

Kann ich denn noch einen final check machen?:rolleyes:

Nicht das ich der Sache nicht traue, aber Kontrolle ist besser als vertrauen.

Wie auch immer, ich habe jetzt so 17 Stunden auf dem Buckel und werde mal ein :party: trinken gehen.

Danke, Siul.

Den "final check" haben wir eigentlich eben mit eScan gemacht und die gefundenen Dateien entfernt.
Du kannst gerne nochmal eScan durchlaufen lassen, ich möchte dabei aber anmerken, dass eScan einige Fehlmeldungen macht: Gefundene Dateien also nicht einfach löschen, sondern hier nochmal veröffentlichen und wir gucken dann, was wirklich gefährlich ist. ;)
(Du kannst ja gucken, welche Dateien ich aus dem eScan nicht gelöscht habe: Smitfraudfix, VNC...)

Nicht ganz leer hoffe ich?
Dieser Text sollte weiterhin darin stehen:
Insbesondere die letzte Zeile ist wichtig!


Dann wünsche ich noch einen angenehmen Abend. :party: :D
lg myrtille

Myrtille,

ok ich habe den Inhalt deiner host Datei in meine reinkopiert.
Wobei ja nur der localhost Eintrag wichtig ist da der rest ja auskomentiert ist.

Werde gelegentlich den eSCAN noch mal laufen lassen.

Danke noch mal für die tolle Unterstüzung.

-Siul.

Hallo.

Nach anfänglichen glauben, dass nun alles wieder ok ist, glaube ich nun mit den Aauswirkungen der hervorgegangenen Trojanern zu kämpfen.:heulen:

Folgendes habe ich festgestellt.

1. Nach einem reboot funktioniert die mouse nicht. Nur ein POR (power on reset) bringt
meone mouse wieder ans leben. Das geht ja noch.

2.Das abspielen von avi Dateien ist nicht möglich. Als Masnahme habe ich diverse Programme, wie NERO, DVD decriptor usw. deinstalliert. Ich boin sogar soweit gegangen den WMP rauszuschmeisen und auf WMP 11 gegangen. Leider ohne erfolg.
Es wird darauf hingewiesen das ein unbekannter Prozess das abspielen unterdrückt.?
Das ist doch ein schwerliegendes Problem. Diverse KB einträge bei Microsoft helfen da auch nicht weiter.
3.Der Versuch des updates auf IE 7, da hat es mich fast umgehauen. Der Update beendet mit der Aussage nicht erfolgreich und veweis wieder auf ein KB Eintrag (KB/917925) Der besagt, dass mit den registry einträgen was nicht stimmt und der key nicht geschrieben werden kann.
Auch das abstellen und deinstallieren von Spyware Doctor hat hier nichts gebracht.
Ich, kann da nichts finden.:schmoll:

Ich weis nicht genau ob ich hier noch richtig bin, bitte aber dennoch um Unterstützung bzw. Rat.

Als Masnahme habe ich erst wieder mal im SAFE MODE mit ADMIN den SmitFraudFix laufen lassen (option 2) und ein HJT log erstellt.
Siehe unten, output von rapport und hjt log.
Ich werde auch noch eine eSCAN posten. Dauer aber noch etwas.

Schon mal vielen Dank.
-Siul.


SmitFraudFix v2.217

Scan done at 9:17:01,75, 31.08.2007
Run from D:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AE274790-7186-4B7E-9C37-45B46ABD898A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:19:45, on 31.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cleanmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Power Manager] "C:\Programme\Gembird\Power Manager\pm.exe" -winstartup
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177655685\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroScoutOptions.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} (ClientControl Class) - h**p://192.168.178.23/plugin/client.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - h**p://192.168.178.23/plugin/h263ctrl.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame
Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 5917 bytes

Hier wie in meinem letzten update erwähnt, der output vom eSCAN.
Ich kann dem eigentlich kein Problem entnehmen, außer dieser Einträge. Aber das sind keine Probleme. Oder?

Unter HOSTS:
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :

und bei SCAN OPTIONS:
Überprüfung der Systembereiche: Deaktiviert (Ist das nicht wichtig?)

Bitte auch meinen letzten update im Beitrag beachten.

Danke,
-Siul.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 8/31/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\Eigene Dateien\****\Privat\Progr & zips\VNC gettingstarted\VNC gettingstarted.zip/vnc-3.3.7-x86_win32.exe//data0002 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
Datei D:\Eigene Dateien\****\Privat\Progr & zips\VNC gettingstarted\vnc-3.3.7-x86_win32.exe//data0002 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
File D:\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Gemeinsame Dateien\aol\System Information\sysres.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 113402
Gefundene Viren: 5
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 46
Dauer des Scans bisher: 00:55:59
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:07:09,51
Batchende: 11:07:23,35

Hi,
die Scans sind mE alle ok und deine Probleme sind auch eher untypisch für eine Infektion.
Mach sicherheitshalber noch eine kurzen Scan (wenn er länger dauert ist was faul ;)) mit Blacklight um alle Eventualitäten auszuschließen und lasse folgende Datei bei virustotal auswerten:
Schau dir bitte auch mal deine Antivireinstellungen an, wenn man den besonders aggressiv konfiguriert, überwacht der mE auch die Registry.

EDIT: Ein genaue (wörtliche) Angabe der Fehlermeldung wäre auch hilfreich. ;)

lg myrtille

Hallo Myrtille,

ich habe jetzt festgestellt dass nach dem SmitFraudFix das mous Problem nict mehr vorhanden ist.

Also restart von WIN-XP und mouse tod, exiestiert momentan nicht mehr. Auch ein mehrfaches rebooten un dein und auschalten hat die mous nicht erschüttert.

Ok ich werde den SCAN mit blacklight mal laufen lassen.
Was meinst du mit ,
Was meinst du mit länger?
Der erste eSCAN war gut eine Stunde und der letzte, also zweite dauerte ca. 40 min.

Danke, -Siul.

EScan ist ja auch was anderes. ;) Der durchsucht jede Datei auf Unstimmigkeiten, Blacklight soll auf Rootkits testen, der arbeitet auf ganz anderer Ebene.

lg myrtille

Soll der blacklight in SAFE MODE nit Netz laufen?

-Siul

Nein, einfach runterladen, entpacken und ausführen. :) Ein log wird in demselben Ordner erstellt, indem sich auch blacklight befindet. Der Name lautet fsblxxxxx.txt
xxxx steht fürs Datum.

lg myrtille

myrtilte,

zu welcher Aussage is dieser Kommentar von dir.?
Was ich nach vollziehen kann.

Siul.

Bezog sich auf die Fehlermeldung beim Abspielen von Avi. Ich wollte ein wenig recherchieren und da ist der genaue Wortlaut hilfreich.
Wer gibt die Fehlermeldung denn aus? Ein Programm?

lg myrtille

Myrtille,

Die lautet,

Beim Wiedergeben der Datei ist in Windows Media Player ein Problem aufgetreten. Klicken Sie auf "Webhilfe", um weitere Unterstützung zu erhalten.

unter Webhilfe erhalte ich:

Windows Media Player Error Message Help
You've encountered error message C00D11B1 while using Windows Media Player. The following information might help you troubleshoot the issue.

und verweis auf sound Probleme,:confused:
Meine Sound sache läuft aber sauber.


ZU den anderen anregungen von dir.

1. Der Blacklighht lief eigentlich sauber durch (52 Prozesse) ca. 10 Minuten.
Null Probleme festgestellt un dnull gefixed. Klar.
Aber mit dem output von Blacklight kann ich nichts anfangen da nicht .txt sondern .log und in binär. Mit binär lesen bin ich nicht vertraut.

2. Der check von der Datei emMon.exe bei VirusTotal hat auch nichts ergeben.
Hier der Output.

Ich habe die MD5 and SHA1 ausge Xed da ich glaube, dass sind security keys !? Oder?

Datei emMon.exe empfangen 2007.08.31 16:03:34 (CET)

Antivirus
Version
letzte aktualisierung
Ergebnis
AhnLab-V3
2007.9.1.0
2007.08.31
-
AntiVir
7.4.1.66
2007.08.31
-
Authentium
4.93.8
2007.08.31
-
Avast
4.7.1029.0
2007.08.30
-
AVG
7.5.0.484
2007.08.31
-
BitDefender
7.2
2007.08.31
-
CAT-QuickHeal
9.00
2007.08.31
-
ClamAV
0.91.2
2007.08.31
-
DrWeb
4.33
2007.08.31
-
eSafe
7.0.15.0
2007.08.29
-
eTrust-Vet
31.1.5099
2007.08.31
-
Ewido
4.0
2007.08.31
-
FileAdvisor
1
2007.08.31
-
Fortinet
3.11.0.0
2007.08.31
-
F-Prot
4.3.2.48
2007.08.31
-
F-Secure
6.70.13030.0
2007.08.31
-
Ikarus
T3.1.1.12
2007.08.31
-
Kaspersky
4.0.2.24
2007.08.31
-
McAfee
5109
2007.08.30
-
Microsoft
1.2803
2007.08.31
-
NOD32v2
2493
2007.08.31
-
Norman
5.80.02
2007.08.31
-
Panda
9.0.0.4
2007.08.31
-
Prevx1
V2
2007.08.31
-
Rising
19.38.42.00
2007.08.31
-
Sophos
4.21.0
2007.08.31
-
Sunbelt
2.2.907.0
2007.08.25
-
Symantec
10
2007.08.31
-
TheHacker
6.1.9.175
2007.08.31
-
VBA32
3.12.2.3
2007.08.30
-
VirusBuster
4.3.26:9
2007.08.30
-
Webwasher-Gateway
6.0.1
2007.08.31
-

weitere Informationen
File size: 32768 bytes
MD5: xyxyxyxyxyxyxyxyxyxyxyxyxyxyxyxyxy
SHA1: yxyxyxyxyxyxyxyxyxyxyxyxyxyxyxyxyx

Oops, der output von Blacklight, ist die Formatierung kapput gegangen.

Also bei "Ergebnis" ist immer ein - "Bindestrich".

Danke, SIul.

MD5 und SHA1 s ind Prüfsummen.
Viele Downloadanbieter geben diese Prüfsummen an, damit man zb überprüfen kann ob ein Download komplett durchgeführt wurde. In unserem Fall hilft es uns zu überprüfen ob die Datei dieselbe ist, wie die, die der Hersteller angibt. Stehen andere Informationen in der Datei ändert sich auch der Hash. Du hättest ihn nicht auslöschen brauchen, da ich aber auch keine Vergleichwerte habe, brauchst du die auch nicht reineditierne. ;)

Was ist mit dem Blacklightlog? :confused: Hast du das im Texteditor geöffnet? Alles sehr verwirrend. Aber das wichtigste war, das Blacklight nichts gefunden hat.

Zu deinem Soundproblem:
Ich hab jetzt mehrfach gelesen, dass es sich um ein Codecproblem handelt. Lade dir also bitte gsport (kostenlos) herunter und lasse eine der Videodateien, die du nicht abspielen kannst auswerten. Alternativ kannst du dir auch vlc herunterladen und schauen ob du deine Filme mit diesem Programm abspielen kannst.

lg myrtille

Hallo myrtille.

Also checksummen. Das kenne ich und es auch verstanden.

Ja, habe ich mit dem Texteditor geöffnet da ich der Meinung war, da kann man das Ergebniss nochmal sehen. Also in ASCII Format. War aber in Binär Format und daher nicht lesbar.

Richtig.

ZU den AVI Dateien.
Nach dem obrigen Ergebniss, bin ich auch der Meinung das dies eher was mit einem Codec, setting zu tun haben muss. Eher als mein erster Verdacht wegen des Trojaner Befall.

Ich hatte bereits die codecs auf einem anderen PC (Laptop) überprüft, auf dem die avi Dateien ohne Probleme luafen, ich kahm zu der Erkentniss dass ein bestimmtes Codec nicht auf meinem Rechner vorhanden ist (WMV 9 VCM) was von Bedeutung sein könnte. ich habe dieses heruntergeladen und installiert. Leider brachte dies aber kein Erfolg. Daraufhin habe ich dein Ratschlag befolgt und hier das Ergebniss:

Das hat prima funktioniert und hat mich wissen lassen, dass der codec XVID genutzt wird aber nicht installiert ist. Aslo download von XVID und installation.
Leider ohne erfolg. Ein wiederholtes überprüfen mit GSpot (270a) besagt wieder das gleiche wie oben aber diesmal mit der AUssage, dass der Codec XVID installiert ist.:heulen:

Das hat auch prima geklappt, jetzt weiß ich, dass meine *.avi Dateien auf dem Rechner mit VTL abgespielt werden können, aber leider nur angespielt. Ich kann diese weder bearbeiten nocht aus den Programmen wie WMP oder Nero kopieren.

Wenn du oder sonst jemand in diesem Forum noch eine Idee dazu hat, währe ich sehr dankbar.
Obwohl mir klar ist, dass dies nicht ganz das richtige Forum ist.

Vielen Dank für die ganze Unterstützung die ich hier erhalte.:daumenhoc

-Siul.

Hi,
ein normales Blacklightlog sieht so aus:
und sollte eigentlich von jedem Editor gelesen werden können. Aber egal. ;)

Bei dem Video/Codecproblem muss ich dann allerdings die Waffen strecken. Eins noch: Zlob/Smitfraud fängt man sich primär über dubiose Codecs ein, also nicht einfach auf gut Glück Codecs ausprobieren. Sonst biste bald wieder hier. ;)
Mit dem Rest kenn ich mich nicht so aus. Windows ist nicht mein bester Freund. ;)

Wie hat sich dein IE-Problem entwickelt? Irgendwelche Fortschritte? Sagt er zumindest auf welche Schlüssel er nicht zugreifen darf? Hast du das Update mit Adminrechten installiert?
(Wenn du dich mit den Problemen woanders hinwenden willst, geb ich dich auch gerne ab. ;) Gibt mit Sicherheit Leute, die sich damit auskennen. :D)

lg myrtille

Hallo myrtille.

IE7 gibt bei der Installation im Log-File c:\windows\ie7.log recht brav den Fehler aus.

5.531: IECUSTOM: Unwriteable key HKLM\Software\Microsoft\Windows\CurrentVersion\Ext \PreApprov
ed
5.531: IECUSTOM: Unwriteable key HKLM\Software\Microsoft\Windows\CurrentVersion\Ext
5.531: IECUSTOM: Backing up registry permissions...
5.656: IECUSTOM: Finished backing up registry permissions...
5.656: IECUSTOM: Setting new registry permissions...
5.671: IECUSTOM: Unable to clear DACLs HKLM\Software\Microsoft\Windows\CurrentVersion\Ext
5.671: IECUSTOM: Finished setting new registry permissions...
5.671: IECUSTOM: An error occured verifying registry permissions. ERROR: 0x80070534
5.671: DoInstallation: CustomizeCall Failed: 0x3f5
5.687: IECUSTOM: Restoring registry permissions...
5.718: IECUSTOM: Finished restoring registry permissions...
5.718: Der Schlüssel der Konfigurationsregistrierung konnte nicht geschrieben werden.
5.718: Die Installation des Internet Explorer 7 wurde nicht abgeschlossen.
5.718: Update.exe extended error code = 0x3f5

In diesem Fall fehlten die Rechte für den Registry-Eintrag HKLM (HKEY_Local_Machine) Software\Microsoft\Windows\CurrentVersion\Ext. Evt. können auch andere Keys betroffen sein. Ein rechter Mausklick auf den entsprechenden Schlüssel, Berechtigungen, für Administratoren die Rechte bei Vollzugriff auf zulassen setzen. Danach ging die Installation ohne Probleme durch.

Jetzt bin ich mit IE7 unterwegs.


Das avi/codec Problem werde ich noch mal angehen. Ich denke mit der Zeit und etwas "rum"googeln bekomme ich das auch hin.

Nochmal vielen Dank.
-Siul.

Gut zu hören! :daumenhoc
Hoffe das sich dein anderes Problem auch bald löst. :)

lg myrtille

Hallo Myrtille,

das hat es.

Die Lösung lautet, "MPEG4 in Nero7" lief nicht sauber.
Ich bin zurück auf Nero 6.6 und da war wieder alles sauber. Davon war auch der WMP (Windows Media Player) betroffen. Kann wieder AVI anschauen und bearbeiten. Ich dachte da bringt jeder seinen eigenen codec mit. Habe ich mich anscheinend ordentlich getäuscht.

Egal jetzt nur noch das maus Problem und ich hbin wieder da wo ich vor einer Woche war. :huepp:

Hoffe ich.

Gruß,
-Siul.