TR/PROXY.AGENT.GX.2 (prtsks.dll)

  • #1
K

Kompass

Mitglied
Themenersteller
Dabei seit
03.05.2006
Beiträge
16
Reaktionspunkte
0
Ort
Bremen
Hallo,

habe extreme Probleme mit einem Trojaner TR/Proxy.agent.gx2...man kriegt den nicht weg

Brauche dringend Tipps & Hilfe um es zu entfernen ! Schon alles versucht, der lässt nicht mal Installationen zu, schaltet den Task-Manager aus( angäblich vom Administrator aus )

...ich nehme an, daß es ein Spion ist..mehr Infos habe ich nicht
 
  • #3
Hallo, vielen Dank für die Tipps.
die Datei prtsks.dll konnte ich hoffentlich löschen, hier schicke ich noch die aktuelle LogFile, leider kenne ich mich mit sowas überhaubt nicht aus.... ???

Logfile of HijackThis v1.99.1
Scan saved at 09:14:37, on 04.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\SxgTkBar.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe
C:\WINDOWS\system32\vxgame6.exe3584.exe
C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\KAMILA\Desktop\HJack.com.exe
C:\WINDOWS\system32\dwwin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\7.bin\MWSSRCAS.DLL
R3 - URLSearchHook: (no name) - {04830ECB-FFCA-ECD7-3DCD-6EF143C48CC5} - BoundRec.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet20001\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3584.exe
O4 - HKCU\..\Run: [BraveSentry] C:\Program Files\BraveSentry\BraveSentry.exe
O4 - HKCU\..\Run: [Komunikator] C:\Programme\Tlen.pl\tlen.exe --confdir=home
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\7.bin\MWSOEMON.EXE
O4 - Global Startup: ControlCenter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra->Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra->Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{118EC40E-312C-484F-B210-BC8189D34118}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{39FA20EF-5611-4652-BE7D-7869653AFEDA}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CS1\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe /service (file missing)
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe /service (file missing)
 
  • #4
diese Einträge löschen ....

Kompass schrieb:
C:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\7.bin\MWSSRCAS.DLL

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\7.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
Zum Vergrößern anklicken....
My Search Bar (MyWebSearch) Spyware
also alles löschen (sieh in der Systemsteuerung/Software nach)



C:\WINDOWS\system32\vxgame6.exe3584.exe

O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3584.exe
Zum Vergrößern anklicken....
hier den Trojaner am besten im abgesicherten Modus [F8] löschen


R3 - URLSearchHook: (no name) - {04830ECB-FFCA-ECD7-3DCD-6EF143C48CC5} - BoundRec.dll (file missing)
Zum Vergrößern anklicken....
noch mit HijackThis fixen, was immer das auch sein soll.

F2 - REG:system.ini: Shell=explorer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
Zum Vergrößern anklicken....
gehört zum Trojaner



F3 - REG:win.ini: run=C:\WINDOWS\inet20001\winlogon.exe

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
Zum Vergrößern anklicken....
auch hier

nicht mit der Windows NT-Anmeldung - winlogon.exe im system32-Verzeichnis verwechseln.

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
Zum Vergrößern anklicken....
SearchToolbar AdWare.ToolBar.SBSoft.h, Quick Web Search
mit HijackThis noch fixen

O4 - HKCU\..\Run: [BraveSentry] C:\Program Files\BraveSentry\BraveSentry.exe
Zum Vergrößern anklicken....
Adware BraveSentry


O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
Zum Vergrößern anklicken....
ist nicht die Systemdatei!


O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra->Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
Zum Vergrößern anklicken....
mit HijackThis noch fixen



Systemwiederherstellung voher deaktivieren:


Viel Erfolg

pan_fee
 
  • #5
...vielen, vielen Dank...die genannten Optionen habe ich alle durchgeführt, hat auch sehr viel gebracht 10000000 Dank. Leider funktioniert der Task-manager immernoch nicht, trotz der Standarteinträge (will er nicht ) ;) , das Programm Bitdefender hat seine Funktion aufgenommen, scan jetzt wieder...leider findet er noch 4 Vireneinträge, die hartnäckig sind, befinden sich in Outlock.pst ( habe den Ordner nur löschen können, nicht öffnen...dadurch sind alle Outlockeinträge samt Post,Adressbuch verschwunden) nach der Wiederherstellung habe ich zwar meine Daten wieder aber die Viren sitzten trotzdem drinn...was kann ich machen ? Dazu habe ich diese Mails auch garnicht gelesen...waren als Junkmails absortiert......und wie kann ich die in LogFile-eingetragene 017-einträge prüfen ob die zu System gehören? Der PC ist ein Server, kann es sein ? hier die aktuelle LogFile + Bericht v. Virenscanning

Logfile of HijackThis v1.99.1
Scan saved at 18:07:25, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SxgTkBar.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Dokumente und Einstellungen\KAMILA\Desktop\HJACK\HJack.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ControlCenter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra->Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{118EC40E-312C-484F-B210-BC8189D34118}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{39FA20EF-5611-4652-BE7D-7869653AFEDA}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CS1\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)
O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe /service (file missing)
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe /service (file missing)


Zusammenfassung: Bitdefende Bericht v. 05.05.2006

C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: read it immediately][From: [email protected]]=>message_bremen.scr Infiziert Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: read it immediately][From: [email protected]]=>message_bremen.scr Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: read it immediately][From: [email protected]]=>message_bremen.scr Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: [email protected]]=>website.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: [email protected]]=>website.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: [email protected]]=>website.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my details][From: [email protected]]=>details.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my details][From: [email protected]]=>details.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my details][From: [email protected]]=>details.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: approved website][From: [email protected]]=>website_bremen.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: approved website][From: [email protected]]=>website_bremen.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: approved website][From: [email protected]]=>website_bremen.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: my website][From: [email protected]]=>website_bremen.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: my website][From: [email protected]]=>website_bremen.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: my website][From: [email protected]]=>website_bremen.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: approved][From: [email protected]]=>screensaver_bremen.pif Infiziert Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: approved][From: [email protected]]=>screensaver_bremen.pif Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: approved][From: [email protected]]=>screensaver_bremen.pif Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: data][From: [email protected]]=>data_bremen.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: data][From: [email protected]]=>data_bremen.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: data][From: [email protected]]=>data_bremen.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my letter][From: [email protected]]=>letter.pif Infiziert Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my letter][From: [email protected]]=>letter.pif Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: my letter][From: [email protected]]=>letter.pif Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here][From: [email protected]]=>letter_bremen.scr Infiziert Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here][From: [email protected]]=>letter_bremen.scr Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: here][From: [email protected]]=>letter_bremen.scr Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: file][From: [email protected]]=>file.scr Infiziert Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: file][From: [email protected]]=>file.scr Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: file][From: [email protected]]=>file.scr Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: your screensaver][From: [email protected]]=>screensaver_bremen.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: your screensaver][From: [email protected]]=>screensaver_bremen.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: your screensaver][From: [email protected]]=>screensaver_bremen.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: [email protected]]=>screensaver_bremen.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: [email protected]]=>screensaver_bremen.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: here][From: [email protected]]=>screensaver_bremen.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Re: improved][From: [email protected]]=>excel document_bremen.zip Verdächtig Win32.Netsky.X@mm
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Re: improved][From: [email protected]]=>excel document_bremen.zip Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Re: Re: improved][From: [email protected]]=>excel document_bremen.zip Verschieben fehlgeschlagen
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Robert][From: Bremen]=>Dorithie.zip=>S3700026.exe Infiziert Trojan.Mitglieder.AB
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: Robert][From: Bremen]=>Dorithie.zip=>S3700026.exe Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: price][From: Babyactive]=>pricelist.zip=>lkfdldew.exe Infiziert Win32.Worm.Bagle.FJ
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: price][From: Babyactive]=>pricelist.zip=>lkfdldew.exe Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET-BANKING [Sat, 25 Mar 2006 10:22:54 +0200]][From: Volksbanken Raiffeisenbanken Internet Banking]=>anvil.gif Infiziert Trojan.Spy.HTML.Bankfraud.M
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET-BANKING [Sat, 25 Mar 2006 10:22:54 +0200]][From: Volksbanken Raiffeisenbanken Internet Banking]=>anvil.gif Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\KAMILA\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET-BANKING [Sat, 25 Mar 2006 10:22:54 +0200]][From: Volksbanken Raiffeisenbanken Internet Banking]=>anvil.gif Verschieben fehlgeschlagen
Geprüfte Dateien
 
  • #6
@Kompass

Au deinem PC befindet sich wareout Rootkit Trojaner,der aktiv ist,ich kann dir helfen,aber musst bist Montag warten,falls bis dahin keine Lösung hast

Gruss
Mopao
 
  • #7
@ Kompass... schon mal versucht im abgesicherten modus das mist vieh zu löschen? nur ein tip.. es geht meistens.. Gruß OD :-X
 
  • #8
Hey  Kompass

#Lade dir auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen.

Lade dir Fixwareout.exe hier auf dem Desktop speichern & doppelklick auf sie,klicke auf Next, dann Install,Run fixit muss markiert werden und klicke dann auf Finish.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{118EC40E-312C-484F-B210-BC8189D34118}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{39FA20EF-5611-4652-BE7D-7869653AFEDA}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1182AD5-1A8A-4948-B4D8-24DA82D908C3}: NameServer = 85.255.116.92,85.255.112.175
O17 - HKLM\System\CS1\Services\Tcpip\..\{014FF50C-DB4A-4A70-AD38-64C6AA98C242}: NameServer = 85.255.116.92,85.255.112.175
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
Ansicht -> Haken entfernen bei Geschützte Systemdateien
ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen
aktivieren -> OK
Loesche:
C:\WINDOWS\pxwma.dll
SxgTkBar.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

Unter Start/Ausführen folgende Befehl eingeben: cmd ok dann öffnet ein Kommandofenster.Danach folgende Befehl eingeben und Eingabetaste drücken:
sc delete ZPMODEMSYSNTDRVNT
#Loesche: Falls vorhanden
C:\WINDOWS\SYSTEM32\DRIVERS\zpmodemnt.sys

#Alle wichtigten Passwärter ändern

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neuer HijackThis Log & den Inhalt der Datei C:\fixwareout\report.txt posten.

Gruss
Mopao
 
  • #9
Hallo Mopao,

danke für die Tipps...habe alles gemacht, nun die Einträge 020 + 09 Shopper kann das Programm nicht löschen & Fixen geht auch nicht, manuel unter c:\dokumente und Einstellungen\all users\ auch nicht- angeblich wird es von irgendeinem Programm verwendet. Scheint super hartnäckig zu sein :(

hier die LogFile & Raport v. fixwareout

Logfile of HijackThis v1.99.1
Scan saved at 21:31:34, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\KAMILA\Desktop\DIVERSES\HJACK\HJack.com.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ControlCenter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\iugogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\atsniwd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tafggrfd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tsiphxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nmdapxlt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\cvsgolps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ilcmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\iugogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\sidkkhc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\atsniwd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ko2toob
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tafggrfd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tsiphxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nmdapxlt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\cvsgolps
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
 
  • #10
@Kompass

Sorry, dass es lange gedauert hat

#Lade dir SmitRem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

#PC neustarten--> abgesicherter Modus
Loesche:
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten:
#Neue HijackThis Log & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Mopao
 
  • #11
Hallo Mopao...

habe alles jetzt gemacht....nix tut sich, immernoch nicht gelöscht hier die neue log
& smitrem.txt

Logfile of HijackThis v1.99.1
Scan saved at 22:48:32, on 09.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\KAMILA\Desktop\Virus-Killing\HJACK\HJack.com.exe

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ControlCenter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

Running from
C:\Dokumente und Einstellungen\KAMILA\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
{438755C2-A8BA-11D1-B96B-00A0C90312E1}=Browseui preloader
{8C7461EF-2B13-11d2-BE35-3078302C2030}=Component Categories cache daemon

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@=%SystemRoot%\System32\browseui.dll


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@=%SystemRoot%\System32\browseui.dll


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 [email protected]
Killing PID 1852->explorer.exe'
Killing PID 1852->explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
{438755C2-A8BA-11D1-B96B-00A0C90312E1}=Browseui preloader
{8C7461EF-2B13-11d2-BE35-3078302C2030}=Component Categories cache daemon

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@=%SystemRoot%\System32\browseui.dll


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@=%SystemRoot%\System32\browseui.dll


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! :)
 
  • #12
@Kompass

#PC neustarten--> abgesicherter Modus

Gehe auf Start/Ausführen oder Microsoft Taste + r,folgende code eingeben & bestätigen mit OK (Einfach kopieren & einfügen)

Code: 
regsvr32 /u C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
OK

Auch

Code: 
regsvr32 /u C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
OK

Auch

Code: 
regsvr32 /u C:\WINDOWS\System32\shdocvw.dll
OK

Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

PC neustarten & neuer HijackThis Log posten

Gruss
Mopao
 
  • #13
Hallo Mopao, vielen Dank für weitere Tips :)

wieder Fehlanzeige...alles gemacht und :

bei den 020 Einträgen kommt Meldung :

loadlibbary (C:\Dokumente) fehlgeschlagen-Das angegebene Modul wurde nicht gefunden

O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

bei denn hier :

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll

ist erfolreich durchgeführt aber...löschen/fixen geht trotzdem nicht ! Wahnsinn, wie das nervt !
 
  • #14
@Mopao

aktuelle Log ist unverändert da die Einträge nicht ge-fixt werden konnten :-\
 
  • #15
@Kompass

Habe jetzt was geändert,probiere noch mal

#PC neustarten--> abgesicherter Modus

Gehe auf Start/Ausführen oder Microsoft Taste + r,folgende code eingeben & bestätigen mit OK (Einfach kopieren & einfügen)

Code: 
regsvr32 /u C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
OK

Auch

Code: 
regsvr32 /u C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll
OK

Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

PC neustarten & neuer HijackThis Log posten

Gruss
Mopao
 
  • #16
@Mopao

..da bin ich wieder ...NIX! Jetzt andere Meldung :

C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

-kann nicht zugreifen wird von anderem Prozes vervendet oder andern person-

der 09-eintrag ist auch nicht löschbar...
 
  • #17
@Mopao

..ja, wir machen hier weiter...bin neu hier im Forum und natürlich dache ich, daß die Notify-einträge schon ein anderes Thema sind

Sorry nochmal...man lernt nie aus ::)
 
  • #18
@Kompass

Versuchen wir mal anders

#Lade dir Killbox entpacke auf dem Desktop

#PC neustarten--> abgesicherter Modus
Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll

#PC neustarten--> abgesicherter Modus
Doppelklick auf Killbox.exe, Hacken setzen bei Delete on Reboot
Folgende Datei eingeben oder koppieren & einfügen:
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll

Dann klicke auf rote Kreuz auf der rechte Seite,wenn diese Frage all listed Files will be deleted on Next Reboot kommt klicke auf No,dann nächste Datei
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll klicke wieder auf rotes Kreuz,dieses mal mit Yes bestätigen,dann PC wird neugestartet

PC neustarten & neuer HijackThis Log posten

Gruss
Mopao
 
  • #19
@Mopao

hab's gemacht...hier die Log ( noch drin aber jetzt heißt das file missing )
Logfile of HijackThis v1.99.1
Scan saved at 23:28:24, on 10.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Com\T-Eumex 820 LAN V1.00\ControlCenter.exe
C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
C:\Dokumente und Einstellungen\KAMILA\Desktop\Virus-Killing\HJACK\HJack.com.exe
C:\Dokumente und Einstellungen\KAMILA\Desktop\Virus-Killing\HJACK\HJack.com.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\Security\KASPER~3\OESpamTest.ExE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ControlCenter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O20 - Winlogon Notify: 2006reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2006.dll (file missing)
O20 - Winlogon Notify: 2014reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\2014.dll (file missing)
O23 - Service: Adaptive Server Anywhere - GeneVer (ASANYs_GeneVer) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Security\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

und nun...
 
  • #20
@Mopao

ist da noch etwas anderes zu sehen...? in der LogFile?
 
Thema:

TR/PROXY.AGENT.GX.2 (prtsks.dll)

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.966
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben