BehavesLike:Win32.ExplorerHijack - encodec.exe macht mich verrückt

  • #1
M

Manny5

Bekanntes Mitglied
Themenersteller
Dabei seit
12.01.2004
Beiträge
236
Reaktionspunkte
0
Ort
Dorsten (NRW)
Hallo,

ich wollte mir ein Video im Internet ansehen, (kein Sxx Mist oder so alles legal).
In die Internetseite war der MS Media Player direkt eingebaut. Ton hörte ich, Bild blieb schwarz.

Darunter der Text das wenn ich nichts empfange den Media-Codec downloaden soll.
Das tat ich dann auch, scheckte dann die Datei mit meinem GData AVK - alles OK.
Setup und fertigstellung auch OK.

Dann fing alles an - erste Warnungen durch GData AVK wie:

Erkannt wurde -

Trojan Downloader.Win32.Zlob.mn - Mediacodec-v4.229.exe - unter C:\DokumenteundEinstellungen\xx\Desktop

Trojan Downloader.Win32.Zlob.mm - A0480759.exe - unter C:/SystemVolumen Information\restore xxxxxx

Trojan Downloader.Win32.Zlob.mm - regperf.exe - unter C:\Windows\system32

Trojan Downloader.Win32.Zlob.mm - IdACF.tmp - unter C:\Windows\system32

BehavesLike:Win32.ExplorerHijack - encodec.exe - unter C:\Programme\Media-Codec

Ich deinstallierte alles wieder - Neustart, Festplattenprüfung mit GData AVK und Ad Aware.
Wie oben genannt wurde alles gefunden und in die Quarantänestation gelegt.

In der Registrierung fand ich dann noch vier Ordner (Schlüssel) mit diesen Inhalten:
Suchoption = encodec.exe
Ergebnis=

A0480759.exe
regperf.exe
IdACF.tmp
encodec.exe

Alles habe ich gelöscht immer wieder einen Neustart gemacht. In der msconfig nachgesehen nichts.
Die Tools Hijack This & CW Shredder haben auch nichts gefunden.

Wiederherstellungsoptionen sind nicht mehr vorhanden alle weg seitdem.

Und nun passiert andauernd das hier.

Während ich im Internet bin, blinkt ab und zu unten rechts ein gelbes Dreieck mit einem schwarzen Ausrufezeichen auf.
Normalerweise durch MS wenn Update vorhanden.

Kein Kommentar dazu, es blinkt nur.
Klicke ich darauf, öffnen sich dann immer englischsprachige Seiten mit dem Sinn
Sicherheitssoftware zu kaufen, oder aber Sexangebote werden präsent.

Auch wenn ich nicht darauf klicke öffnet sich mit einmal der IE / Maxthon Browser mit irgendeinen Fenster das ich nicht haben will.
Hier mal ein Auszug der genannten Seiten:

popentertain.com/vc/as/sec3-sjfk/

popentertain.com/vc/aff/indexauye.html

malwarewipe.com/?rid=247

thespyguard.com/?aff=103

adwarepunisher.com/?aff=103

popentertain.com/vc/cas/carnival2/index.html

Links unkenntlich gemacht ::)

In diesem Moment blinkt mich das Gelbe Dreieck nun schon zum vierten mal in 10 Miuten an
und nun eine neue Fehlermeldung direkt auf den Bildschirm:

System Warning!
4 Errors found: (klar hatte ich heute schon mal)
-Your computer has slowed down
-Your Internet connection speed has decreased
-You get popups and annoying ads when you´re online or sometimes even offline
-Your default home page has been changed to the one you didn´t ask for
These are true signs that you may have spyware or other unwanted software installed on your computer.

Click OK to download spyware scan and protect your computer from spyware.
OK oder Abbrechen.

Wie bekomme ich diesen Störenfried / Zeitschaltuhr wieder von der Festplatte?
Normalerweise bin ich nicht so leichtsinnig, aber diesmal habe ich echt gepennt so scheint es.

Habe das Posting von steffi42 gelesen, aber nichts von dem trifft auf mich zu.

Manny5
 
  • #2
Hey Manny5

Poste mal ein HijackThis Log

Gruss
Mopao
 
  • #3
Hallo Mopao,

hier die HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:13, on 28.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Maxthon

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\atmclk.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\MK Programme\Internet & Sicherheit\Maxthon Standard 1.1.120 vom 11.03.05\Maxthon\Maxthon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\SpybotSD.exe
D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
D:\MK Programme\MK Tools\Windows Optimieren\Hijack & CW Shredder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mannys - MS IE 6.0 Browser
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - D:\MK Programme\Internet & Sicherheit\toolbar.netcraft\nctb.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVKTray] C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [Spamihilator] D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
O4 - Global Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FA4D1AA-9B45-4BF1-8BE4-3A47F7C8E5DB}: NameServer = 62.220.18.8 62.72.64.237
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Manny5
 
  • #4
@Manny5

Melde mich heute Abend

Gruss
Mopao
 
  • #6
@Manny5

#Rechte Maustaste auf Arbeitsplatz---->Eigenschaften---->Systemwiederherstellung----> Haken setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren---->klicke Übernehmen---->dann OK, wieder aktivieren

#Lade dir SmitfraudFix auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, Den Anweisungen auf dem Bildschirm folgen.

#Lade dir unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mannys - MS IE 6.0 Browser

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
Ansicht -> Haken entfernen bei Geschützte Systemdateien
ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen
aktivieren -> OK
Loesche:
C:\WINDOWS\system32\atmclk.exe

#PC neustarten--> abgesicherter Modus
#Starte mach ein voller Scan (Complete System Scan)

#Scane mit ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

#Inhalt folgende ordner loeschen:
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neuer HijackThis Log, den Report des Ewido Scans, & symantec Scan Ergebnis hier posten.

Gruss
Mopao
 
  • #7
Hallo Mopao und PCDpan_fee

spät aber ich komme doch noch mal rein. :1

Das Problem scheint gelöst zu sein.

Das gelbe Dreieck mit schwarzem Ausrufezeichen blinkte.
Mit Strg + Alt + Entf erkannte ich die Datei atmclk.exe.

Nachdem ich sie anklickte und auf Beenden ging war das
gelbe Dreieck mit schwarzem Ausrufezeichen auch weg.

Unter C:\WINDOWS\system32\ fand ich dann atmclk.exe.

Auch fand ich das Icon ot.ico.

Das war heute Morgen im Startmenü plaziert.

Ein Blaues Wappenschild mit weißem Ausrufezeichen.
Bezeichnung = Online Security Guide
zu finden unter =

Ein grünes Wappenschild mit weißem OK Pfeil.
Bezeichnung = Security Troubleshooting
zu finden unter =

Unter Regedit gab ich dann atmclk.exe. ein und ließ suchen.
Es wurden weitere 9 Einträge hierzu gefunden.
Diese habe ich gelöscht aber vorher gesichert.

Nach einem erneuten Neustart und etwa 120 Minuten im Netz, immer noch kein
gelbes Dreieck mit schwarzem Ausrufezeichen oder ähnliches.
Auch das sich automatisch Seiten öffnen ist zur Zeit nicht vorhanden.

Habe aber dann doch noch teilweise das hier vollzogen.

Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mannys - MS IE 6.0 Browser

Habe Fix checked ausgeführt.

Im abgesicherten Modus sehe ich zur Zeit nur ein schwarzes Fenster, keine Bearbeitung möglich.
Ich werde mich später um dieses Problem kümmern.

Ewido kenne ich habe es bis letztes Jahr als Vollversion auf der Platte benutzt.
Habe es aber mal durchlaufen lassen.

#Inhalt folgende ordner loeschen:
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

Benutze ClearProg und Sweepi - daher sind diese beiden Ordner meistens sauber.

Mit Symantec habe ich abgeschlossen.
Nach 1 zerschossenen Festplatte und unzähligen beschädigten Dateien,
woran Symantec und der Update Live Service nicht ganz Unschuldig waren.
Vertrauen auf Symantec habe ich schon lange nicht mehr. Sorry....

OK und hier das Ewido Scans Ergebnis.:

ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:10:44, 28.04.2006
+ Report-Checksumme: 585435A4

+ Scanergebnis:

C:\Dokumente und Einstellungen\MK\Cookies\mk@atdmt[1].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup


::Report Ende

----------------------------
und
Logfile of HijackThis v1.99.1
Scan saved at 21:15:02, on 28.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
D:\MK Programme\Internet & Sicherheit\Maxthon Standard 1.1.120 vom 11.03.05\Maxthon\Maxthon.exe
D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoguard.exe
D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoctrl.exe
D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\SecuritySuite.ex
D:\MK Programme\MK Tools\Windows Optimieren\Hijack & CW Shredder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MKPROG~1\INTERN~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - D:\MK Programme\Internet & Sicherheit\toolbar.netcraft\nctb.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVKTray] C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [Spamihilator] D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
O4 - Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
O4 - Global Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FA4D1AA-9B45-4BF1-8BE4-3A47F7C8E5DB}: NameServer = 62.220.18.8 62.72.64.237
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: ewido security suite control - ewido networks - D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoguard.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Also hoffe ich das es an C:\WINDOWS\system32\atmclk.exe gelegen hat.

Vielen dank Mopao und PCDpan_fee für die Tipps.

Manny5
 
  • #8
@Manny5

HJT Log sieht gut aus

Gruss
Mopao
 
  • #9
hallo

ich habe ein ähnliches problem mit der atmclk.exe, allerdings kann ich den process nicht beenden. Sobald ich ihn beende startet er sich sofort wieder neu! Ich habe dann die C:\WINDOWS\system32\atmclk.exe im Abgesichertem Modus gelöscht und neugestartet. Der Process war immer noch da und die Datei atmclk.exe hatte sich auch wieder in C:\WINDOWS\system32\ erstellt.
Was kann ich tun?

Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:31:48, on 01.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
D:\x-NAV76\defwatch.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\cba\pds.exe
D:\x-NAV76\rtvscan.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
D:\X-ICQ5\ICQLite.exe
D:\x-NAV76\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Tools-ohne-installation\procexp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\System32\atmclk.exe
D:\Tools-ohne-installation\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp9124.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] D:\X-ICQ5\ICQLite.exe -minimize
O4 - HKLM\..\Run: [vptray] D:\x-NAV76\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\X-ICQ5\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\X-ICQPro\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\X-ICQPro\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\X-ICQ5\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\X-ICQ5\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) -
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: winexz32 - C:\WINDOWS\SYSTEM32\winexz32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - D:\x-NAV76\defwatch.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel File Transfer - Intel Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\x-NAV76\rtvscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

was soll ich machen?

MfG Mölke
 
  • #11
den thread verstehe ich nicht!
kannst du mir auch anderes helfen?? :-\

greez mölke
 
  • #12
Hallo,

ich hatte auch versehentlich encodec.exe installiert, um ein Video zu sehen...

Inzwischen glaube ich, die Trojaner wieder losgeworden zu sein. Was ich getan habe, war im Wesentlichen Folgendes:

1. Scannen mit AntiVir Guard und löschen aller infizierten Dateien, soweit dies möglich war, sowie aller temporären Internetdateien und Cookies - keine Ahnung, ob letzteres erforderlich war.
2. Neustart
3. Abschießen von ein paar Prozessen im Taskmanager, die ich dort zuvor noch nicht gesehen hatte, insbes. atmclk.exe
4. Entfernen aller Schlüssel im RegEdit unterhalb von HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
(Läuft atmclk.exe noch, so wird der Eintrag zum Starten von atmclk.exe sofort wieder angelegt.)
5. Neustart und Löschen der dcomcfg.exe und atmclk.exe aus dem System32-Ordner.

S.
 
  • #13
Hi, ich habe denke ich das gleiche Ding und wollte fragen, ob ich genauso verfahren soll oder es leicht abgeändert werden muss.

Ich poste mal mein HijackThis log:


Logfile of HijackThis v1.99.1
Scan saved at 11:43:09, on 07.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative\MediaSource\CTCMS.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Download + Zeug\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.118.2.220:80
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp7F32.tmp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nTune] C:\Programme\NVIDIA Corporation\nTune\\nTune.exe clear
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
O20 - Winlogon Notify: winbjv32 - C:\WINDOWS\SYSTEM32\winbjv32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Noch ne Frage, er zeigt mir unten ja netterweise die ganze Zeit an, dass mein PC verseucht ist und leitet mich auf ne Seite weiter, wo ich dann ein Antispyware Tool runterladen kann. Also kann man doch 100% sicher sein, dass diese Antispyware Firma mitdrinhängt?


So ich hoffe, dass mir jemand helfen kann das los zu werden
 
  • #14
@Chan

#Lade dir SmitfraudFix auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen.

#Lade dir unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp7F32.tmp

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
Ansicht -> Haken entfernen bei Geschützte Systemdateien
ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen
aktivieren -> OK
Loesche:
C:\WINDOWS\system32\hp7F32.tmp

#PC neustarten--> abgesicherter Modus
#Starte mach ein voller Scan (Complete System Scan)

#Inhalt folgende ordner loeschen:
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neuer HijackThis Log, den Report des Ewido Scans hier posten.

Gruss
Mopao
 
  • #15
Erstmal vielen Dank, es scheint geholfen zu haben, weil die Icons nicht mehr in der Taskleiste sind und sich keine Seiten mehr öffnen.

Ewido hat viele Viren gefunden, aber davon waren die meisten Cookies. Die Datei hp7f32.tmp konnte ich nicht per Hand löschen, weil sie nicht mehr da war.

hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:10:24, on 09.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Download + Zeug\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.118.2.220:80
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nTune] C:\Programme\NVIDIA Corporation\nTune\\nTune.exe clear
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
O20 - Winlogon Notify: winbjv32 - winbjv32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Ewido-Log:


---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 15:05:19, 09.05.2006
+ Report-Checksumme: 308D6230

+ Scanergebnis:

[220] C:\WINDOWS\system32\winbjv32.dll -> Trojan.Agent.qt : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Weborama : Gesäubert mit Backup
:mozilla.31:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
:mozilla.32:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
:mozilla.33:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
:mozilla.54:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.55:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.56:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.57:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.58:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.59:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
:mozilla.67:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
:mozilla.73:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.74:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup
:mozilla.77:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Popularix : Gesäubert mit Backup
:mozilla.78:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
:mozilla.79:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
:mozilla.89:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
:mozilla.90:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup
:mozilla.94:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup
:mozilla.104:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup
:mozilla.106:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
:mozilla.108:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
:mozilla.114:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Valueclick : Gesäubert mit Backup
:mozilla.119:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup
:mozilla.126:C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\4sxdlg9n.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\PC\Cookies\pc@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\PC\Cookies\pc@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\PC\Cookies\pc@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\PC\Cookies\[email protected][1].txt -> TrackingCookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\PC\Cookies\pc@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
C:\WINDOWS\system32\expIorer.exe -> Adware.WinAD : Gesäubert mit Backup
C:\WINDOWS\system32\winbjv32.dll -> Trojan.Agent.qt : Gesäubert mit Backup


::Report Ende
 
  • #16
Hey Chan

Kann sein dass Ewido,die Datei schon geloeschthat,aber trozdem folgemde machen

Gehe auf Start/Ausführen oder Microsoft Taste + r,folgende code eingeben & bestätigen mit OK (Einfach kopieren & einfügen)

Code: 
regsvr32 /u C:\WINDOWS\System32\winbjv32.dll
OK

Auch

Code: 
regsvr32 /u C:\WINDOWS\winbjv32.dll
OK

Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
O20 - Winlogon Notify: winbjv32 - winbjv32.dll (file missing)

PC neustarten & neuer HijackThis Log posten

Gruss
Mopao
 
  • #17
Die beiden Codes, die ich ausführen sollte, haben nicht funktioniert, trotzdem der neue Log hier.


Logfile of HijackThis v1.99.1
Scan saved at 12:43:55, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Download + Zeug\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 222.237.71.96:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVIDIA nTune] C:\Programme\NVIDIA Corporation\nTune\\nTune.exe clear
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DSS] C:\WINDOWS\system32\winoscnfg.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKCU\..\Run: [MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
O20 - Winlogon Notify: winbjv32 - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
Thema:

BehavesLike:Win32.ExplorerHijack - encodec.exe macht mich verrückt

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben