Hallo Allerseits.

Ich habe seit kurzem "Paytime.exe" und "secure32" auf dem Rechner; das hat mir der Panda-Online-Scan mitgeteilt.
Seitdem kann ich bei der Windows-Firewall keine Einstellungen vornehmen und jedesmal, wenn ich den Internet-Explorer starte gibt er mir eine Fehlermeldung, dass die Datei "secure32" nicht gefunden werden kann. Vielleicht sind manche anderen Dinge ebenfalls nicht mehr in Ordnung, die ich noch nicht bemerkt habe.
Anbei der Panda-Bericht:


Ereignis Zustand Standort

Adware:adware/cws.searchmeup Nicht desinfiziert C:\WINDOWS\SYSTEM32\PAYTIME.EXE
Adware:adware/cws.searchmeup Nicht desinfiziert C:\WINDOWS\SYSTEM32\paytime.exe
Adware:adware/secure32 Nicht desinfiziert Windows-Registry


Wie werde ich das denn los?

MFG, Husen

Hi!
http://yourhighness.eddys-domain.de/hjtkurz.html

Info:
http://virus-protect.net/artikel/spyware/secure_32.html

MfG,

Hallo Yourhighness.

Ich hab nicht so richtig Ahnung von dem ganzen Kram (eigentlich so gar keine).

Muss ich alles, was auf der Info-Site steht abarbeiten?
Auf die andere Seite komm ich nicht.

MFG, Husen

Hallo.

Ich habe mit HiJack sämtliche Paytime- und secure32-Dateien gelöscht.
Mein Windows-Sicherheitscenter (Windows-Firewall) ist aber immer noch deaktiviert und das lässt sich auch nicht ändern.

Danke im Voraus, Husen

hijackThis loescht nicht...

also, alles von vorn:

-----------------------------------------------------------------------------------
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.net/cleanup.html

kopiere hier die 4 Textdateien (3 Monate vom Datum her genuegen)
http://virus-protect.net/datfindbat.html

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\

Hallo Nikita.

Hier die 4 Text-Dateien:

28.12.2005 01:33 6.402 OODBS.lor
28.12.2005 00:56 2.550 Uninstall.ico
28.12.2005 00:56 1.406 Help.ico
28.12.2005 00:56 1.718 Open.ico
28.12.2005 00:56 1.406 AddQuit.ico
28.12.2005 00:56 5.350 IE.ico
28.12.2005 00:56 9.470 Desktop.ico
28.12.2005 00:56 1.718 Quick.ico
27.12.2005 23:25 0 asfiles.txt
27.12.2005 23:09 2.206 wpa.dbl
27.12.2005 22:51 37.376 msupdate32.dll
21.12.2005 22:16 552 d3d8caps.dat
19.12.2005 17:25 16.832 amcompat.tlb
19.12.2005 17:25 23.392 nscompat.tlb
17.12.2005 10:45 240.736 FNTCACHE.DAT
11.12.2005 12:58 0 ws3d_uc.dat
11.12.2005 12:58 35 ws3d_is.dat
09.12.2005 15:01 43.520 CmdLineExt03.dll
08.12.2005 16:25 2.723.680 MRT.exe
07.12.2005 15:18 1.420 HLDRV.LOG
07.12.2005 15:18 304.640 hlvdd.dll
07.12.2005 15:13 48.552 perfc007.dat
07.12.2005 15:13 40.326 perfc009.dat
07.12.2005 15:13 311.938 perfh009.dat
07.12.2005 15:13 317.168 perfh007.dat
07.12.2005 15:13 723.744 PerfStringBackup.INI
07.12.2005 14:17 261 $winnt$.inf
07.12.2005 14:15 2.951 CONFIG.NT
07.12.2005 14:13 488 logonui.exe.manifest
07.12.2005 14:13 488 WindowsLogon.manifest
07.12.2005 14:13 749 wuaucpl.cpl.manifest
07.12.2005 14:13 749 cdplayer.exe.manifest
07.12.2005 14:13 749 nwc.cpl.manifest
07.12.2005 14:13 749 ncpa.cpl.manifest
07.12.2005 14:13 749 sapi.cpl.manifest
07.12.2005 14:11 21.740 emptyregdb.dat
07.12.2005 14:08 0 h323log.txt
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
12.09.2005 21:00 608.448 comctl32.ocx
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll


Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 3C33-B9F1

Verzeichnis von C:\DOKUME~1\Husen\LOKALE~1\Temp

28.12.2005 01:34 0 $b17a2e8.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 28.663.365.632 Bytes frei



Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 3C33-B9F1

Verzeichnis von C:\WINDOWS

28.12.2005 01:34 633.160 WindowsUpdate.log
28.12.2005 01:34 50 wiaservc.log
28.12.2005 01:34 157 wiadebug.log
28.12.2005 01:33 0 0.log
28.12.2005 01:33 2.048 bootstat.dat
28.12.2005 01:33 7.614 SchedLgU.Txt
28.12.2005 00:56 32 pavsig.txt
27.12.2005 23:25 823 win.ini
27.12.2005 23:24 654.982 setupapi.log
27.12.2005 15:47 69 NeroDigital.ini
21.12.2005 22:16 6.156 DirectX.log
20.12.2005 22:11 6.017 wmsetup.log
19.12.2005 17:26 379 wmsetup10.log
19.12.2005 17:25 316.640 WMSysPr9.prx
18.12.2005 13:59 383 nsw.log
17.12.2005 10:44 1.393 imsins.log
17.12.2005 10:44 12.855 ocmsn.log
17.12.2005 10:44 108.922 tsoc.log
17.12.2005 10:44 12.137 tabletoc.log
17.12.2005 10:44 281.463 iis6.log
17.12.2005 10:44 86.809 comsetup.log
17.12.2005 10:44 50.913 ntdtcsetup.log
17.12.2005 10:44 21.513 KB910437.log
17.12.2005 10:44 11.686 msgsocm.log
17.12.2005 10:44 116.792 ocgen.log
17.12.2005 10:44 16.362 MedCtrOC.log
17.12.2005 10:44 40.695 netfxocm.log
17.12.2005 10:44 227.929 FaxSetup.log
17.12.2005 10:44 75.772 msmqinst.log
17.12.2005 10:44 17.081 updspapi.log
17.12.2005 10:44 1.393 imsins.BAK
17.12.2005 10:44 40.393 KB905915.log
14.12.2005 12:07 2 BEL.BMK
14.12.2005 12:06 4 BEL.ANN
14.12.2005 12:05 256 bel.ini
11.12.2005 12:02 202.642 wallpaper122.jpg
10.12.2005 09:32 69 CPLBCL53.UNI
09.12.2005 13:00 59 LTDLG13N.INI
07.12.2005 15:32 400 ODBC.INI
07.12.2005 15:10 31.461 KB899587.log
07.12.2005 15:09 30.578 KB896422.log
07.12.2005 15:09 30.389 KB885835.log
07.12.2005 15:09 29.258 KB885836.log
07.12.2005 15:09 30.080 KB885250.log
07.12.2005 15:09 30.273 KB901017.log
07.12.2005 15:09 30.591 KB899591.log
07.12.2005 15:09 31.068 KB896424.log
07.12.2005 15:08 29.955 KB893756.log
07.12.2005 15:08 28.181 KB896423.log
07.12.2005 15:08 28.318 KB873339.log
07.12.2005 15:08 28.386 KB888113.log
07.12.2005 15:08 28.931 KB887742.log
07.12.2005 15:08 28.327 KB887472.log
07.12.2005 15:08 29.718 KB896358.log
07.12.2005 15:08 28.432 KB891781.log
07.12.2005 15:08 34.926 KB902400.log
07.12.2005 15:07 25.548 KB890046.log
07.12.2005 15:07 23.164 KB896688.log
07.12.2005 15:07 20.402 KB893066.log
07.12.2005 15:07 20.430 KB899589.log
07.12.2005 15:07 20.682 KB905414.log
07.12.2005 15:07 19.989 KB901214.log
07.12.2005 15:07 18.436 KB888302.log
07.12.2005 15:07 20.379 KB900725.log
07.12.2005 15:06 12.266 KB886185.log
07.12.2005 15:06 17.446 KB904706.log
07.12.2005 15:06 17.755 KB905749.log
07.12.2005 15:06 16.541 KB896428.log
07.12.2005 15:06 17.223 KB894391.log
07.12.2005 15:06 17.344 KB890859.log
07.12.2005 14:44 177.800 setupact.log
07.12.2005 14:38 7.753 KB893803v2.log
07.12.2005 14:37 8.820 KB898461.log
07.12.2005 14:34 50 Extensa Series.ini
07.12.2005 14:20 829 OEWABLog.txt
07.12.2005 14:19 8.192 REGLOCS.OLD
07.12.2005 14:15 0 control.ini
07.12.2005 14:14 4.161 ODBCINST.INI
07.12.2005 14:13 749 WindowsShell.Manifest
07.12.2005 14:11 1.023 sessmgr.setup.log
07.12.2005 14:11 37 vbaddin.ini
07.12.2005 14:11 36 vb.ini
07.12.2005 14:11 133 DtcInstall.log
07.12.2005 14:09 200 cmsetacl.log
07.12.2005 14:07 0 Sti_Trace.log
07.12.2005 14:04 1.348 regopt.log
07.12.2005 14:04 231 system.ini
07.12.2005 14:03 0 setuperr.log


Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 3C33-B9F1

Verzeichnis von C:\

28.12.2005 01:44 0 sys.txt
28.12.2005 01:42 6.487 system.txt
28.12.2005 01:42 290 systemtemp.txt
28.12.2005 01:40 96.650 system32.txt
28.12.2005 01:33 1.207.959.552 pagefile.sys
19.12.2005 14:10 512 camusd.log
07.12.2005 14:30 6 ISACER.ID
07.12.2005 14:15 0 MSDOS.SYS
07.12.2005 14:15 0 IO.SYS
07.12.2005 14:15 0 CONFIG.SYS
07.12.2005 14:15 0 AUTOEXEC.BAT
07.12.2005 14:08 211 boot.ini


Danke, Husen

wer lesen kann ist klar im Vorteil...schrieb ich nicht was von 3 Monaten? Die Daten aus dem 19.Jahrhundert interessieren mich nicht.

Hab ich dann ja auch noch gesehen und geändert...

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.net/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Danke Nikita - aber Du sollst doch nicht immer so lange aufbleiben ROFL

Hallo Nikita,

hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 09:49:22, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Diverses\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LManager] C:\LAUNCH~1\CPLBCL53.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Danke, Husen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp
C:\WINDOWS\SYSTEM32\msupdate32.dll

pc neustarten

scanne mit kaspersky und poste den scanreport
http://virus-protect.net/onlinescan.html


---------------------------------------------------------------------
Information:
ibm00001.exe
http://virus-protect.net/artikel/spyware/ibm00000.html

Hallo Nikita,

hier der Online-Scan-Report:


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, December 28, 2005 12:29:33
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 28/12/2005
Kaspersky Anti-Virus database records: 157748
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 43848
Number of viruses found: 3
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 2014 sec

Infected Object Name - Virus Name
C:\RECYCLER\S-1-5-21-861567501-1060284298-854245398-1003\Dc1.dll Infected: Trojan-PSW.Win32.Agent.bu
C:\System Volume Information\_restore{45F32F7D-3FB1-4538-903B-3FF44BA05D2B}\RP38\A0004640.exe Infected: Trojan-Dropper.Win32.Agent.ady
C:\System Volume Information\_restore{45F32F7D-3FB1-4538-903B-3FF44BA05D2B}\RP38\A0004761.dll Infected: Trojan-PSW.Win32.Agent.bu
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF\mb45u[1].exe Infected: Trojan-Dropper.Win32.Delf.qf
C:\WINDOWS\Temp\99.tmp Infected: Trojan-Dropper.Win32.Delf.qf

Scan process completed.


Gruß, Husen

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

Start-->Ausfuehren--> reinschreiben: %temp%

LOESCHE, falls es noch da ist:

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF

C:\WINDOWS\Temp\99.tmp

wende noch mal Cleanup an
http://virus-protect.net/cleanup.html

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

(dann wieder aktivieren)
http://service1.symantec.com/SUPPORT/IN ... 7105707924


dann scanne noch mal mit kaspersky
http://virus-protect.net/onlinescan.html

Hallo Nikita,

Kaspersky hat nichts mehr gefunden.
Ich gehe davon aus, dass jetzt wieder alles in Ordnung ist, oder?

Vielen Dank für Deine prompte und ausführliche Hilfe.

Bis zum nächsten mal, Husen