Security Toolbar 7.1

E81 · 26 Februar 2008

Hallo Zusammen

Ich habe seit Sonntag diese Toolbar im Internet Explorer und kriege diese nicht weg. Ich habe in dieser Toolbar noch nichts angeklickt, da mir dies sehr merkwürdig vorkommt. Mein PC meldet seitdem auch andauernd, dass ich einen Backdoor Trojaner auf meinem System hätte und ich irgendwelche Programme downloaden soll. Selbstverständlich tu ich dies nicht, schon nur aus diesem Grund, dass die Meldung nicht von Norton kommt.

Was muss ich jetzt tun? Kann ich selber etwas machen oder bringe ich die Kiste besser zum Fachmann. Ich muss hier noch sagen, dass ich ein absoluter Laie bin.

Vielen Dank
Pädu

Swisstreasure · 26 Februar 2008

Security Toolbar ist eine Toolbar welche mit Trojaner Zlob verbunden ist.
Ich denke das kriegen wir hin.
Mach mal was in diesem Thread beschrieben ist dann schauen wir weiter:http://www.pctipp.ch/forum/showthread.php?t=3750

Interessant wäre noch seit wan dieses Poblem existiert.

Gruss Swiss

E81 · 1 März 2008

Hallo Swisstreasure

Sorry, diese Woche war viel Los (Autosalon anliefern und so).
Also das Problem besteht seit letztem Samstag. Ich habe auf meinem PC zwei Betriebssysteme (2mal XP). Zum Glück ist das nur beim ersten vorhanden.
Ich werde mal den Anweisungen im Thread folgen und mich dann wieder melden.

Gruss E81

E81 · 1 März 2008

Log- File1

ComboFix 08-03-01.3 - Administrator 2008-03-01 16:14:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1356 [GMT 1:00]
ausgeführt von:: M:\Downloads\Combofix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Programme\Helper
F:\Programme\Helper\1203846935.dll
M:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-01 bis 2008-03-01 ))))))))))))))))))))))))))))))
.

2008-03-01 16:09 . 2008-03-01 16:09 <DIR> d-------- F:\Programme\CCleaner
2008-02-24 10:55 . 2008-02-24 10:55 <DIR> d-------- F:\Programme\NetProject
2008-02-24 10:43 . 2008-02-24 10:43 <DIR> d-------- F:\Programme\Maxis
2008-02-24 10:36 . 2008-02-24 10:36 <DIR> d-------- F:\Programme\Uninstall Manager
2008-02-24 10:35 . 2008-02-24 10:35 <DIR> d-------- F:\Programme\iTunes
2008-02-24 10:35 . 2008-02-24 10:35 <DIR> d-------- F:\Programme\iPod
2008-02-24 10:35 . 2008-02-24 10:35 <DIR> d-------- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-02-24 10:35 . 2008-03-01 16:00 54,156 --ah----- F:\WINDOWS\QTFont.qfn
2008-02-24 10:35 . 2008-02-24 10:35 1,409 --a------ F:\WINDOWS\QTFont.for
2008-02-24 10:34 . 2008-02-24 10:34 <DIR> d-------- F:\Programme\QuickTime
2008-02-24 10:34 . 2008-02-24 10:34 <DIR> d-------- F:\Programme\Bonjour
2008-02-24 10:32 . 2008-02-24 10:32 <DIR> d-------- F:\Programme\Gemeinsame Dateien\Apple
2008-02-24 10:26 . 2008-02-24 10:26 <DIR> d-------- F:\Programme\Gemeinsame Dateien\Nokia
2008-02-24 10:25 . 2008-02-24 10:25 <DIR> d-------- F:\Programme\PC Connectivity Solution
2008-02-24 10:12 . 2008-02-24 10:12 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-02-24 10:09 . 2008-02-24 10:17 <DIR> d-------- F:\Dokumente und Einstellungen\Administrator\.SunDownloadManager
2008-02-24 10:05 . 2008-02-24 10:05 <DIR> d-------- F:\WINDOWS\marco
2008-02-24 10:03 . 2007-05-29 19:20 139,226 --------- F:\WINDOWS\hpwins10.dat.temp
2008-02-24 10:03 . 2006-12-12 17:44 771 --------- F:\WINDOWS\hpwmdl10.dat.temp
2008-02-24 10:02 . 2007-07-10 10:01 1,269,760 --a------ F:\WINDOWS\hpzshl01.exe
2008-02-24 10:02 . 2007-07-10 10:01 1,126,400 --a------ F:\WINDOWS\hpzmsi01.exe
2008-02-24 10:02 . 2007-09-17 09:48 10,376 --a------ F:\WINDOWS\hpwscr10.dat
2008-02-24 10:02 . 2007-09-17 09:45 1,042 --a------ F:\WINDOWS\hpwmdl10.dat
2008-02-24 09:30 . 2008-02-24 09:30 <DIR> d-------- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\UpdateStar
2008-02-23 15:09 . 2008-02-23 15:09 <DIR> d-------- F:\Temp
2008-02-23 15:03 . 2008-02-23 15:03 <DIR> d-------- F:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-10 12:46 . 2008-02-10 12:46 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2008-02-07 17:06 . 2008-02-07 17:06 <DIR> d-------- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nokia Multimedia Player
2008-02-06 16:03 . 2008-01-12 18:32 23,904 --a------ F:\WINDOWS\system32\drivers\COH_Mon.sys
2008-02-06 16:03 . 2008-01-15 09:54 10,537 --a------ F:\WINDOWS\system32\drivers\COH_Mon.cat
2008-02-06 16:03 . 2008-01-15 05:28 706 --a------ F:\WINDOWS\system32\drivers\COH_Mon.inf
2008-02-05 19:13 . 2008-02-06 15:49 <DIR> d-------- F:\Programme\Norton AntiVirus
2008-02-05 19:12 . 2008-02-05 19:25 <DIR> d-------- F:\Programme\Symantec
2008-02-05 19:12 . 2006-09-02 15:21 108,728 --a------ F:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-02-05 19:12 . 2006-09-02 15:21 48,824 --a------ F:\WINDOWS\system32\S32EVNT1.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-01 15:05 --------- d-----w F:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-24 09:35 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-24 09:26 --------- d-----w F:\Programme\Nokia
2008-02-24 09:26 --------- d-----w F:\Programme\Gemeinsame Dateien\PCSuite
2008-02-24 09:26 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-02-24 09:21 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-02-24 09:12 --------- d-----w F:\Programme\HP
2008-02-24 09:10 --------- d-----w F:\Programme\Java
2008-02-24 09:09 --------- d-----w F:\Programme\Hewlett-Packard
2008-02-24 09:05 --------- d-----w F:\Programme\Intel
2008-02-24 08:49 --------- d-----w F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-24 08:48 --------- d-----w F:\Programme\AGEIA Technologies
2008-02-24 08:45 --------- d-----w F:\Programme\Gemeinsame Dateien\Adobe
2008-02-23 14:10 196,608 ----a-w F:\WINDOWS\system32\drivers\nStandard.bin
2008-02-23 14:03 --------- d-----w F:\Programme\Downloads
2008-02-11 15:01 --------- d--h--w F:\Programme\InstallShield Installation Information
2008-02-10 11:44 --------- d-----w F:\Programme\TomTom HOME 2
2008-02-05 18:41 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-31 16:56 90,112 ----a-w F:\WINDOWS\DUMP2d49.tmp
2008-01-04 18:41 176,128 ----a-w F:\WINDOWS\system32\Ncs2Setp.dll
2008-01-03 09:40 --------- d-----w F:\Programme\Rail Simulator
2007-12-31 16:05 107,888 ----a-w F:\WINDOWS\system32\CmdLineExt.dll
2007-12-20 18:40 146,016 ----a-w F:\WINDOWS\system32\ncs2instutility.dll
2007-12-20 18:08 1,268,304 ----a-w F:\WINDOWS\system32\ncscolib.dll
2007-12-20 00:43 248,448 ----a-w F:\WINDOWS\system32\Prounstl.exe
2007-12-19 17:52 617,088 ----a-w F:\WINDOWS\system32\ncs2dmix.dll
2007-12-19 17:52 473,720 ----a-w F:\WINDOWS\system32\accesor.dll
2007-12-14 11:12 56,440 ----a-w F:\WINDOWS\system32\NicInstE.dll
2007-12-14 11:06 121,440 ----a-w F:\WINDOWS\system32\e1000msg.dll
2007-12-07 01:06 665,088 ----a-w F:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w F:\WINDOWS\system32\oleaut32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]
2008-03-01 16:00 9728 --a------ F:\Programme\NetProject\sbmdl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{81705D67-3F73-4983-859B-97D0922E5ABE}

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"= F:\Programme\NetProject\wamdl.dll [2008-02-24 10:55 70656]

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"TomTomHOME.exe"="F:\Programme\TomTom HOME 2\HOMERunner.exe" [2008-02-07 10:47 361832]
"Uniblue RegistryBooster 2"="F:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe" [ ]
"UpdateStar"="F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\UpdateStar\UpdateStar.exe" [2008-01-10 19:41 4031152]
"PC Suite Tray"="F:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 10:12 695808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelAudioStudio"="F:\Programme\Intel Audio Studio\IntelAudioStudio.exe" [2006-08-02 17:17 9134080]
"PinnacleDriverCheck"="F:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 01:26 406016]
"UMonit"="F:\WINDOWS\system32\umonit.exe" [2004-05-11 06:34 53248]
"Adobe Photo Downloader"="F:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 10:45 63712]
"NvCplDaemon"="F:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 01:07 1626112 F:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="F:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 01:07 81920]
"NSLauncher"="F:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2006-11-28 01:12 2658304]
"SunJavaUpdateSched"="F:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ccApp"="F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-09-03 00:04 84640]
"osCheck"="F:\Programme\Norton AntiVirus\osCheck.exe" [2006-09-05 18:22 26248]
"Symantec PIF AlertEng"="F:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]
"RegistryMechanic"="" []
"Adobe Reader Speed Launcher"="F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"HP Software Update"="F:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 21:52 49152]
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="F:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]

E81 · 1 März 2008

Log-File2

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"Nokia.PCSync"="F:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 17:35 1294336]

F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - F:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 21:40:10 210520]
Logitech Desktop Messenger.lnk - F:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-11-22 20:28:59 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"= F:\Programme\NetProject\scit.exe
"start"= F:\Programme\NetProject\sbmntr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"GreyMSIAds"= 1 (0x1)

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=F:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=F:\WINDOWS\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=F:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Quick Help.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Quick Help.lnk
backup=F:\WINDOWS\pss\Quick Help.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-03-16 10:45 63712 F:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 21:52 49152 F:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IW_Drop_Icon]
--a------ 2006-02-16 16:39 1346560 F:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Motive SmartBridge]
--a------ 2005-09-13 08:57 401408 F:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\QuickHelpAlert.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
--a------ 2006-11-28 01:12 2658304 F:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEPCI]
--a------ 2004-02-03 15:13 49152 F:\PROGRA~1\Pinnacle\PPE\PPE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
F:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 F:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 F:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-03-22 20:21 151597 F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ImapiService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"F:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"F:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"F:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"F:\\Programme\\Messenger\\msmsgs.exe"=
"F:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"F:\\Programme\\Bonjour\\mDNSResponder.exe"=
"F:\\Programme\\iTunes\\iTunes.exe"=

R0 OODrvled;OODrvled;F:\WINDOWS\system32\DRIVERS\OODrvled.sys [2004-09-22 12:57]
R1 vobiw;vobiw;F:\WINDOWS\system32\drivers\vobiw.sys [2004-09-01 14:50]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"F:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-09-08 14:47]
R3 cdrdrv;Cdrdrv;F:\WINDOWS\system32\Drivers\Cdrdrv.sys [2005-02-10 11:55]
R3 fixustor;fixustor;F:\WINDOWS\system32\drivers\fixustor.sys [2004-05-11 07:38]
R3 Video3D;ASUS Video3D Service;F:\WINDOWS\system32\Drivers\Video3D32.sys [2006-09-29 10:06]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{241368ba-6f4e-11dc-b066-0040f4ee2bcc}]
\Shell\AutoRun\command - N:\LaunchU3.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-01 16:15:00 F:\WINDOWS\Tasks\1-Klick-Wartung.job"
- F:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-29 15:56:37 F:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- F:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-08 20:55:40 F:\WINDOWS\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Administrator.job"
- F:\PROGRA~1\NORTON~1\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-01 16:19:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
UMonit = F:\WINDOWS\system32\umonit.exe?USB\Vid_08???Pid_7212??????d?I_02??838???B\?O??????????????????????????6~??????????????F?l??????|p??|????m??|??9~??????????d?B$?|??7~??7~*?,???d???????????????????????????????7~??????????????F?????T???~?F???????F???F????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-01 16:20:21
ComboFix-quarantined-files.txt 2008-03-01 15:19:49
.
2008-02-14 19:17:58 --- E O F ---

E81 · 1 März 2008

Log-File von HiJack This 1

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:20, on 01.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\WINDOWS\ATKKBService.exe
F:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\NetProject\scit.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
F:\Programme\NetProject\scm.exe
F:\Programme\NetProject\sbmntr.exe
F:\Programme\Intel Audio Studio\IntelAudioStudio.exe
F:\Programme\NetProject\sbsm.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\umonit.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
F:\Programme\Java\jre1.6.0_03\bin\jusched.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\HP\HP Software Update\HPWuSchd2.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\TomTom HOME 2\HOMERunner.exe
F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\UpdateStar\UpdateStar.exe
F:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
F:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
F:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
F:\Programme\PC Connectivity Solution\ServiceLayer.exe
F:\Programme\iPod\bin\iPodService.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
F:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
F:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
F:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\WINDOWS\system32\notepad.exe
F:\WINDOWS\explorer.exe
M:\Downloads\HiJack This\HiJackThis.exe

E81 · 1 März 2008

Log-File von HiJack This 2

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - F:\Programme\NetProject\sbmdl.dll
O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - F:\Programme\NetProject\wamdl.dll
O4 - HKLM\..\Run: [IntelAudioStudio] "F:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [UMonit] F:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NSLauncher] F:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "F:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "F:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "F:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] F:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "F:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] F:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [UpdateStar] F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
O4 - HKCU\..\Run: [PC Suite Tray] "F:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKLM\..\Policies\Explorer\Run: [some] F:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] F:\Programme\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1191921354203
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1191921343343
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - F:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - F:\WINDOWS\ATKKBService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - F:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - F:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - F:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - f:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: ServiceLayer - Nokia. - F:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Core LC - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10395 bytes

Swisstreasure · 3 März 2008

@E81

1. Wende Smitfraudfix an wie hier beschrieben:
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

2. Dannach suche folgende Eintäge und lasse sie bei Virustotal prüfen und poste das Ergebniss:
http://www.virustotal.com/de/
(Eventuell sind sie nach Smitfraufix nicht mehr da)

F:\Programme\NetProject\scit.exe
F:\Programme\NetProject\sbmntr.exe
F:\Programme\NetProject\sbsm.exe
F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Update Star\UpdateStar.exe
F:\WINDOWS\system32\umonit.exe?USB (Evtl. Kartenleser)

3. Hijackthis --> Fixe folgende Einträge:
Anleitung: http://www.pctipp.ch/forum/showthread.php?t=359

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www,explorertool.net/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www,explorertool.net/redirect.php (file missing)

4. CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK
Entferne auf C:\combofix.txt

5. Erstelle ein neues Hijackthis-log und ein erneutes Combofix-log
http://www.pctipp.ch/forum/showthread.php?t=3750

6. Start > Ausführen, tippe msconfig ein, mit Enter bestätigen
Register Systemstart. Schau einmal nach einem Eintrag der wie folgt aussieht.
F:\WINDOWS\system32\umonit.exe?USB

Kennst du diesen Eintrag? Dürfte sich um ein USB Kartenleser handeln, hast du einen solchen?

Gruss Swiss

E81 · 8 März 2008

Hallo Swisstreasure

Ich habe soeben den PC und den IE gestartet und die Security Toolbar ist weg, wie auch die Warnmeldungen. Die Anwendungen, welche Du im letzten Thread gepostet hast, habe ich noch nicht durchgeführt, wollte gerade damit beginnen. Das einzige was ich gemacht habe, waren die Sicherheitsupdates von Norton. Im Internet war ich diese Woche immer nur via dem zweiten System, weil ich da das Problem nicht habe/ hatte.

Was meinst Du, soll ich Deine Anweisungen noch durchführen, oder ist das System "geheilt"?

Gruss
Pädu

Swisstreasure · 8 März 2008

@E81

Das tönt schon mal gut. Aber mach noch folgende:

1. Erstelle trotzdem ein neues HijackTis Log.

2. schaue auf deinem System ob du folgende Datei findest: F:\Programme\NetProject\

3. Dannach mache noch folgendes:
Gehe unter START --> Ausführen --> gib ein: regedit --> Bearbeiten --> Suchen, gib ein: NetProject
und lass die Registry durchsuchen nach diesem Eintrag. Dannach poste was rauskommt.

4. Noch einen scan mit Kaspersky poste hier den Scanreport
http://www.kaspersky.com/de/virusscanner

5. Zu letzt noch Combofix entfernen:
Start > Ausführen>Kopiere rein "Combofix /U" OK
Entferne auf C:\combofix.txt

Gruss Swiss

E81 · 10 März 2008

Hallo Swisstreasure

Scheinbar ist es doch schon zu spät. Hätte wohl Deine Vorschläge doch bfolgen sollen. Ich komme beim anderen System nicht mehr ins Internet. jede eingabe endet nach langem suchen mit "Seite nicht gefunden". Ich werde nun morgen die Kiste trotzdem vorbei bringen und halt die Fr. 100.- aufwerfen. Aber ich habe zuwenig Geduld und Zeit es selbst zu beheben (und auch nicht das wissen). Wenn ich es weiter versuche geht am Ende noch mehr kaputt, vorallem Hardware mässig.

Ich danke Dir aber auf jedenfall 1000mal für Deine Hilfe und Geduld.

Mit freundlichen Grüssen

Pädu

Swisstreasure · 10 März 2008

Ja das hättest du, denn dadurch hätte man das Sytem eventuell wieder zum laufen gebracht.

Falls du wieder ein Problem hast, dann komm einfach wieder hier im PCtipp Forum vorbei.

Einfach ein wenig früher ;)

Gruss Swiss

Security Toolbar 7.1

E81

Mitglied

Swisstreasure

Stammgast

E81

Mitglied

E81

Mitglied

E81

Mitglied

E81

Mitglied

E81

Mitglied

Swisstreasure

Stammgast

E81

Mitglied

Swisstreasure

Stammgast

E81

Mitglied

Swisstreasure

Stammgast