hatte spyquake drauf... und nu das...

[viperius]

Hi Leutz,

hatte mir dieses blöde spyquake eingefangen... scheint nur wech zu sein, hab viele sachen drüberlaufen lassen, aber nur glaub ich, is irgendwas dabei kaputt gegenagen

Also erstens, bekomme ich diese blöde autostartseite nich weg:

"http://www.bestsecurityguide.com/"

zweitens, is das system jetzt irgendwie buggy...
wenn ich zum beispie auf arbeitsplatz gehe und dort die festeplatte anklickern möchte (doppelklick links) geht bei mir die CMD auf, kann sämtliche ordner nur noch mit rechtsklick öffnen, dabei is mir aufgeallen, das wenn sich der reiter öffnet, an erster stelle (dick makiert) entweder cmd shell oder die suchen option sich befindet, nicht mehr das öffnen menue...

Kann man das rückgängig machen??? oder is mein system hoffnungslos verloren???

vielen dank im voraus!

LG viperius

hier noch mein hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:01:37, on 13.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Common\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HPQ\Shared\hpqwmi.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Software\toolbox\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.macromedia.com/de/shockwa...m/default.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\system32\hp6000.tmp
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resourc...scbase7617.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bbb.local
O17 - HKLM\Software\..\Telephony: DomainName = bbb.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FE0773-D479-4114-8056-B1C93EB4E803}: NameServer = 192.168.5.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1D59EF9-0746-4187-943B-6E67D6740185}: NameServer = 192.168.5.1,192.168.5.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bbb.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = bla
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FE0773-D479-4114-8056-B1C93EB4E803}: NameServer = 192.168.5.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bbb.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = bla
O17 - HKLM\System\CS2\Services\Tcpip\..\{10FE0773-D479-4114-8056-B1C93EB4E803}: NameServer = 192.168.5.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = bla
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\Shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Common\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Unknown owner - C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

[Speedy]

hi

download von SmitfraudFix (S!Ri, moe31 und balltrap34)
entpacke es (SIMPLYZIP)auf dem desktop
starte es nun und wähle die option 1
poste das logfile
starte es nocheinmal, wähle nun die option 2
gib überall "oui" (ja) ein.
neustart des system durchführen.

wechsle in den abgesicherten modus von windows: PC einschalten, warten bis die meldung "windows wird gestartet..." am bildschirm erscheint, nun drücke sofort die taste [F8]. es erscheint ein start-menü im textmodus. wählen hier "abgesichert" bzw. "abgesicherter modus" und bestätigen dies mit der [eingabe]-taste. win95 win98/ME win2000 winxp und fixe mit HijackThis die nachfolgenden einträge
015 ALLE

downlaod den ccleaner, installieren, starten -> unter options settings -> german einstellen, weiters unter einstellungen erweitert folgendes deaktiveren --> mehr als 48h alte..... ! nun bereinige mit dem ccleaner dein system (windows, applications, registry) (quick-tour und screenshots), die temp. ordner überprüfen, notfalls im abgesicherten modus leeren, mistküble leeren

downlaod von datfindbat, führe es nach anleitung aus und poste den inhalt der erstellten logfiles (das werden 4 stück, wobei von c:\windows\system32 nur die letzten 30 tage gepostet werden sollten) + ein aktuelles hjt-logfile

[viperius]

SmitFraudFix v2.31

Scan done at 18:52:22,03, 15.04.2006
Run from D:\Dokumente und Einstellungen\localadmin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\interf.tlb FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ncompat.tlb FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\localadmin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

[Speedy]

hi, ups, wo bleibt der rest ?

[viperius]

Ja sorry, hatte nen paar probs mit dem I-net...
Nach dem ich das Tool "SmitfraudFix" ging schonmal wieder das einstellen der Startseite, wie ich im nachhinein gemerkt habe...

O15 einträge konnte ich nich fixen, waren keine vorhanden...

naja dann hab ich den ccleaner ausgführt, alles rausgeschmissen und dann
die datfind.bat ausgeführt, bei macht er aber nur 2 logfiles die als txt popup ploppen...

Datentr„ger in Laufwerk D: ist DATEN
Volumeseriennummer: 1095-6C87

Verzeichnis von D:\

13.04.2006 12:48 1.428 sageset2005.reg
07.03.2006 04:17 164.247 New d2jsp.rar
07.03.2006 04:17 770.939 Bot.rar
06.03.2006 22:40 5.862.994 ts2_client_rc2_2032.exe
04.03.2006 01:33 6.940.645 goldundliebe.mp3
04.03.2006 01:32 6.892.998 crosstownrebels.mp3
23.02.2006 00:34 84.830 GSTAR Einladung.pdf
7 Datei(en) 20.718.081 Bytes
0 Verzeichnis(se), 15.731.326.976 Bytes frei

-----------------------------------

Datentr„ger in Laufwerk D: ist DATEN
Volumeseriennummer: 1095-6C87

Verzeichnis von D:\DOKUME~1\LOCALA~1\LOKALE~1\Temp

so und hier nu noch nen aktueller hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 00:55:42, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Common\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HPQ\Shared\hpqwmi.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Software\toolbox\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.macromedia.com/de/shockwa...m/default.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resourc...scbase7617.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bbb.local
O17 - HKLM\Software\..\Telephony: DomainName = bbb.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FE0773-D479-4114-8056-B1C93EB4E803}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1D59EF9-0746-4187-943B-6E67D6740185}: NameServer = 192.168.5.1,192.168.5.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bbb.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = bla
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FE0773-D479-4114-8056-B1C93EB4E803}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bbb.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = bla
O17 - HKLM\System\CS2\Services\Tcpip\..\{10FE0773-D479-4114-8056-B1C93EB4E803}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = bla
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\Shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Common\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Unknown owner - C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Leider hat sich das prob mit dem öffnen von ordnern noch nich gelegt, nach wie vor öffnet sich die CMD oder die Suchoption von Windows. Außer die Ordner auf dem Desktop lassen sich normal öffnen und benutzen...

und danke nochmal für deine Hilfe

lg viperius

[Ruby]

Hallo Viperius

wenn du mit der datfindbat nicht zurechtkommst, versuchs mal damit:

Schritt 1
lade die windatfindbat von unserem Moderator Karl83 (für alle Betriebssysteme) herunter. Bitte auf die Datei klicken, es erscheint ein DOS-Fensterchen, nun wird eine Notepad-Datei unter C:\ erstellt. Bitte von diesem Text die letzten 45 Tage kopieren und hier posten:

%C%:\
%C%:\%WinDir%\%System%
%C%:\%WinDir%
%C%:\%WinDir%\TEMP

Hinweis:
%C%, %WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

Schritt 2
Datei-Kontrolle:
kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Lade bitte diese Dateien hoch

C:\WINDOWS\system32\hp6000.tmp
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\System32\nvctrl.exe

1. -> http://siri.urz.free.fr/upload/ (*).
2. -> ST-Adware-Upload (*)

(*) Wenn du zum hochladen ein Zip-Programm benötigst, SIMPLYZIP ist kostenlos.
Dateien, die man nicht hochladen kann, muss man in ein Archiv packen und kann sie dann hochladen. Aber bitte darauf achten, dass die Dateien auch wirklich IM Archiv sind.

Melde dich und lass uns wissen, ob der Upload zu den beiden URL's (!) funktioniert hat.

Frohe Ostern ;-)

[viperius]

Huhu und ich wünsch auch erstmal ein Frohes Osterfest

Hier nur der log, der windatfindbat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6048-DA54

Verzeichnis von C:\

16.04.2006 11:17 0 dirdat.txt
16.04.2006 11:06 792.723.456 pagefile.sys
16.04.2006 00:45 585 system.txt
16.04.2006 00:45 128 systemtemp.txt
16.04.2006 00:45 585 system32.txt
16.04.2006 00:44 585 sys.txt
15.04.2006 19:59 803 rapport.txt
13.04.2006 12:48 3.320 smitfiles.txt
13.04.2006 09:09 211 boot.ini
17.03.2006 21:45 136 123del.bat
05.01.2006 20:41 167 bcmwl5.log
05.01.2006 18:13 93 HelpcenterAktiv.txt
05.01.2006 15:19 90 chpst.log
05.01.2006 15:17 190 setup.log
05.01.2006 15:15 187 syntp.log
05.01.2006 15:14 32 ticrdbus.log
07.12.2005 19:36 0 MSDOS.SYS
07.12.2005 19:36 0 IO.SYS
07.12.2005 19:36 0 CONFIG.SYS
07.12.2005 19:36 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
23 Datei(en) 793.034.268 Bytes
0 Verzeichnis(se), 5.663.428.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6048-DA54

Verzeichnis von C:\WINDOWS\system32

16.04.2006 11:10 41.170 perfc009.dat
16.04.2006 11:10 320.668 perfh007.dat
16.04.2006 11:10 314.842 perfh009.dat
16.04.2006 11:10 732.342 PerfStringBackup.INI
16.04.2006 11:10 49.570 perfc007.dat
15.04.2006 18:50 40.960 swsc.exe
15.04.2006 18:50 42.496 swreg.exe
15.04.2006 18:50 287.170 SrchSTS.exe
15.04.2006 18:50 53.248 Process.exe
15.04.2006 02:47 13.646 wpa.dbl
30.03.2006 11:20 41 AuxDrv32ds_k.ods
30.03.2006 11:20 41 SndDrv32ds_k.ods
25.03.2006 14:15 43.520 CmdLineExt03.dll
06.03.2006 22:43 34.064 lhacm.acm
23.02.2006 01:23 21.840 SIntfNT.dll
23.02.2006 01:23 17.212 SIntf32.dll
23.02.2006 01:23 12.067 SIntf16.dll
08.02.2006 07:23 4.513.120 MRT.exe
03.02.2006 17:20 776 Wug_Inst.log
17.01.2006 23:36 69.632 ElbyCDIO.dll
06.01.2006 21:34 53.248 NeroCo.dll
06.01.2006 21:34 57.344 NeroBurnRights.cpl
06.01.2006 21:29 257.456 FNTCACHE.DAT
05.01.2006 15:31 7.006 jupdate-1.5.0_06-b05.log
04.01.2006 05:35 68.096 webclnt.dllVolume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6048-DA54

Verzeichnis von C:\

16.04.2006 11:17 0 dirdat.txt
16.04.2006 11:06 792.723.456 pagefile.sys
16.04.2006 00:45 585 system.txt
16.04.2006 00:45 128 systemtemp.txt
16.04.2006 00:45 585 system32.txt
16.04.2006 00:44 585 sys.txt
15.04.2006 19:59 803 rapport.txt
13.04.2006 12:48 3.320 smitfiles.txt
13.04.2006 09:09 211 boot.ini
17.03.2006 21:45 136 123del.bat
05.01.2006 20:41 167 bcmwl5.log
05.01.2006 18:13 93 HelpcenterAktiv.txt
05.01.2006 15:19 90 chpst.log
05.01.2006 15:17 190 setup.log
05.01.2006 15:15 187 syntp.log
05.01.2006 15:14 32 ticrdbus.log
07.12.2005 19:36 0 MSDOS.SYS
07.12.2005 19:36 0 IO.SYS
07.12.2005 19:36 0 CONFIG.SYS
07.12.2005 19:36 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
23 Datei(en) 793.034.268 Bytes
0 Verzeichnis(se), 5.663.428.608 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6048-DA54

Verzeichnis von C:\WINDOWS\system32

16.04.2006 11:10 41.170 perfc009.dat
16.04.2006 11:10 320.668 perfh007.dat
16.04.2006 11:10 314.842 perfh009.dat
16.04.2006 11:10 732.342 PerfStringBackup.INI
16.04.2006 11:10 49.570 perfc007.dat
15.04.2006 18:50 40.960 swsc.exe
15.04.2006 18:50 42.496 swreg.exe
15.04.2006 18:50 287.170 SrchSTS.exe
15.04.2006 18:50 53.248 Process.exe
15.04.2006 02:47 13.646 wpa.dbl
30.03.2006 11:20 41 AuxDrv32ds_k.ods
30.03.2006 11:20 41 SndDrv32ds_k.ods
25.03.2006 14:15 43.520 CmdLineExt03.dll
06.03.2006 22:43 34.064 lhacm.acm
23.02.2006 01:23 21.840 SIntfNT.dll
23.02.2006 01:23 17.212 SIntf32.dll
23.02.2006 01:23 12.067 SIntf16.dll
08.02.2006 07:23 4.513.120 MRT.exe
03.02.2006 17:20 776 Wug_Inst.log
17.01.2006 23:36 69.632 ElbyCDIO.dll
06.01.2006 21:34 53.248 NeroCo.dll
06.01.2006 21:34 57.344 NeroBurnRights.cpl
06.01.2006 21:29 257.456 FNTCACHE.DAT
05.01.2006 15:31 7.006 jupdate-1.5.0_06-b05.log
04.01.2006 05:35 68.096 webclnt.dll

ab hier sind nur noch sachen vom letzten jahr, also denke ich uninteressant.

Anschließend kam das noch in der Logfile, weiß nich ob von interesse:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6048-DA54

Verzeichnis von C:\WINDOWS

16.04.2006 11:09 15.465 WindowsUpdate.log
16.04.2006 11:06 0 0.log
16.04.2006 11:06 2.048 bootstat.dat
16.04.2006 02:32 452 SchedLgU.Txt
13.04.2006 09:09 227 system.ini
13.04.2006 09:09 573 win.ini
13.04.2006 00:22 316.640 WMSysPr9.prx
09.04.2006 12:00 116 NeroDigital.ini
27.03.2006 19:04 512 randseed.rnd
18.03.2006 00:17 67 StationRipper.INI
23.02.2006 01:26 31.169 DIIUnin.dat
23.02.2006 01:11 2.829 DIIUnin.pif
23.02.2006 01:11 102.400 DIIUnin.exe
09.01.2006 22:04 0 nsreg.dat
06.01.2006 21:34 843.776 UNNeroBurnRights.exe
06.01.2006 21:34 27.645 UNNeroBurnRights.cfg
05.01.2006 18:16 400 ODBC.INI
05.01.2006 15:08 580 UPGRADE.TXT
07.12.2005 21:17 99.970 UninstallFirefox.exe
07.12.2005 21:17 2.608 mozver.dat
07.12.2005 19:40 8.192 REGLOCS.OLD
07.12.2005 19:36 0 control.ini
07.12.2005 19:35 4.161 ODBCINST.INI
07.12.2005 19:34 749 WindowsShell.Manifest
07.12.2005 19:31 37 vbaddin.ini
07.12.2005 19:31 36 vb.ini
27.05.2005 01:22 10.752 hh.exe
02.05.2005 16:08 32.768 biwlandrvxpver.dll
24.08.2004 13:20 88.363 AGRSMMSG.exe
24.08.2004 13:20 64.512 agrsmdel.exe
04.08.2004 13:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 13:00 153.600 regedit.exe
04.08.2004 13:00 65.832 Santa Fe-Stuck.bmp
04.08.2004 13:00 65.954 Pr„riewind.bmp
04.08.2004 13:00 65.978 Seifenblase.bmp
04.08.2004 13:00 1.014.663 SET3.tmp
04.08.2004 13:00 1.086.058 SET4.tmp
04.08.2004 13:00 14.043 SET8.tmp
04.08.2004 13:00 70.144 NOTEPAD.EXE
04.08.2004 13:00 17.336 Angler.bmp
04.08.2004 13:00 15.872 TASKMAN.EXE
04.08.2004 13:00 94.800 twain.dll
04.08.2004 13:00 50.688 twain_32.dll
04.08.2004 13:00 49.680 twunk_16.exe
04.08.2004 13:00 25.600 twunk_32.exe
04.08.2004 13:00 1.405 msdfmap.ini
04.08.2004 13:00 17.062 Kaffeetasse.bmp
04.08.2004 13:00 26.582 Granit.bmp
04.08.2004 13:00 26.680 F„cher.bmp
04.08.2004 13:00 16.730 Feder.bmp
04.08.2004 13:00 80 explorer.scf
04.08.2004 13:00 18.944 vmmreg32.dll
04.08.2004 13:00 1.035.264 explorer.exe
04.08.2004 13:00 2 desktop.ini
04.08.2004 13:00 17.362 Rhododendron.bmp
04.08.2004 13:00 257.568 winhelp.exe
04.08.2004 13:00 288.768 winhlp32.exe
04.08.2004 13:00 48.680 winnt.bmp
04.08.2004 13:00 48.680 winnt256.bmp
04.08.2004 13:00 34.818 wmprfDEU.prx
04.08.2004 13:00 82.944 clock.avi
04.08.2004 13:00 9.522 Zapotek.bmp
04.08.2004 13:00 707 _default.pif
63 Datei(en) 6.380.365 Bytes
0 Verzeichnis(se), 5.663.330.304 Bytes frei
Datentr„ger in Laufwerk D: ist DATEN
Volumeseriennummer: 1095-6C87

Verzeichnis von D:\DOKUME~1\LOCALA~1\LOKALE~1\Temp

16.04.2006 11:17 412 jusched.log
16.04.2006 11:07 16.384 ~DFCA55.tmp
2 Datei(en) 16.796 Bytes
0 Verzeichnis(se), 15.731.822.592 Bytes frei
------------

Explorer hab ich wie beschrieben konfiguriert...
und lade nu die gewünschten dateien hoch zu beiden URL's...

LG Viperius

[viperius]

Also eigentlich bin ich ja nicht ganz so doof...
aber diese Dateien kann ich nicht auf meinen Rechner finden

C:\WINDOWS\system32\hp6000.tmp
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\System32\nvctrl.exe

nich eine davon, jedenfalls nicht in der Pfadangabe und wenn ich dem internen Suchprogramm von Windows glauben schenken kann, befinden sich Dateien auch nicht auf dem Rechner...

[HijackThis]

Hallo

Das kann mal passieren, die wurden vorher von Smitfraufix eliminiert

C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\interf.tlb FOUND !
C:\WINDOWS\system32\ncompat.tlb FOUND !

und warum die nvctrl.exe , keine Ahnung, wird wohl an der Tageszeit gelegen sein *grins*

Scanne das System mit Ewido --> http://www.ewido.net/de/ und mit
Escan --> http://www.mwti.net/products/mwav/mwav.asp -> Anleitungen findest du hier an Board genug.

Poste dann beide Logfiles.

[Ruby]

Hallo HijackThis, hallo Viperius

Das kann mal passieren, die wurden vorher von Smitfraufix eliminiert

C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\interf.tlb FOUND !
C:\WINDOWS\system32\ncompat.tlb FOUND !

und warum die nvctrl.exe , keine Ahnung, wird wohl an der Tageszeit gelegen sein *grins*

Herzlichen Dank für deine Bemühungen, diese Dateien zu finden @ @ Viperius. Sie gehören zu einer relativ neuen Infektion, und ich wollte gerne wissen, ob sie sich noch auf deinem System befinden. Nun können wir also auch bei dieser Infektion ruhigen Gewissens das SmitFraudFix anwenden, denn es erfasst diese Dateien und ihre Registry-Einträge und entfernt sie von den Systemen.

Wenn ihr mal nachschauen wollt, die Dateien befinden sich in S!Ri's ChangeLog und die Infektion ist -> hier beschrieben.

Schönen Sonntag ;-)