Hallo,
ich bin neu hier und würde mich über Hilfe freuen.
Mein Problem:
Mein Anti-Malware Programm "Spy Sweeper" hat den Browser Hijacker "LittleHelper" in der Datei "unins000.exe" meines Terminkalender-Programms "wisterer hx" entdeckt und isoliert. Vorher stellte ich schon fest, daß das Prog. "wisterer hx" ständig auf mein Passwort-Prog. "Roboform" zugreift.
Daraufhin habe ich die zwei Prog. "wisterer hx und Roboform" deinstalliert.
Doch der Hijacker ist scheinbar noch aktiv, da sich die gelöschten Programme über Windows-Autostart immer wieder in die Registry unter "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" eintragen.
Da meine PC Kenntnisse begrenzt sind, hoffe ich daß mir jemand bei der Problembeseitigung helfen kann.
Hier mein HiJackThis-Log
Logfile of HijackThis v1.99.1
Scan saved at 13:13:38, on 03.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: InternetSammler Browser Helper Object - {7D1FD2B7-1877-451F-95CD-0CAC38C104C5} - C:\Programme\InternetSammler\ISShell.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: InternetSammler-Bearbeitungsleiste - {3FE23F63-28D9-4986-A086-87D2FE07848B} - C:\Programme\InternetSammler\ISShell.dll
O3 - Toolbar: InternetSammler-Symbolleiste - {9724B1CB-4E72-41A9-953E-EBCEA61DD819} - C:\Programme\InternetSammler\ISShell.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [AWMON] "C:\Programme\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\wistererhx.exe"
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Bild mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#101
O8 - Extra context menu item: Bild mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#108
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Link-Adresse mit InternetSammler ¬ieren... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#110
O8 - Extra context menu item: Markierung mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#104
O8 - Extra context menu item: Markierung mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#109
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#102
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#106
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2415024140
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 5647424328
O17 - HKLM\System\CCS\Services\Tcpip\..\{707A4CF4-0708-4704-A36E-590C5C8BABCE}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Browser Hijacker "LittleHelper"
11 Beiträge • Seite 1 von 1
von Nikita am 03.04.2006, 16:38
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
http://virus-protect.org/onlinescan.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Browser Hijacker "LittleHelper"
von abiks am 03.04.2006, 20:13
Hallo Nikita,
ich habe meinen PC mehrmals mit Panda ActivScan gescannt. Es wurde keine Malware gefunden und somit auch kein Scan-Report erstellt.
Vielleicht war es ein Fehler, das Programm "wisterer hx" in dem "Spy Sweeper" den Hijacker gefunden hat, zu deinstallieren?
Laut "Spy Sweeper" befand sich der Hijacker "LittleHelper" in der Uninstall Exe von "wisterer hx", Dateiname "unins000.exe".
Ich habe soeben einen weiteren scan mit SpySweeper durchgeführt und wieder die Warnung erhalten, "Neue Programme entdeckt die beim Start von Windows aktiviert werden". Diese Warnung kommt nach jedem scan und es werden wieder die schon deinstallierten Programme "wisterer hx und RoboForm" angezeigt.
Außerdem, und das ist neu, wurde wieder der Hijacker "LittleHelper" gefunden und zwar unter C:\recycler\s-1-5-21-2328280177-400354556-337738688-1008\unins000.exe
Ich hoffe du kannst damit etwas anfangen.
MfG, abiks
ich habe meinen PC mehrmals mit Panda ActivScan gescannt. Es wurde keine Malware gefunden und somit auch kein Scan-Report erstellt.
Vielleicht war es ein Fehler, das Programm "wisterer hx" in dem "Spy Sweeper" den Hijacker gefunden hat, zu deinstallieren?
Laut "Spy Sweeper" befand sich der Hijacker "LittleHelper" in der Uninstall Exe von "wisterer hx", Dateiname "unins000.exe".
Ich habe soeben einen weiteren scan mit SpySweeper durchgeführt und wieder die Warnung erhalten, "Neue Programme entdeckt die beim Start von Windows aktiviert werden". Diese Warnung kommt nach jedem scan und es werden wieder die schon deinstallierten Programme "wisterer hx und RoboForm" angezeigt.
Außerdem, und das ist neu, wurde wieder der Hijacker "LittleHelper" gefunden und zwar unter C:\recycler\s-1-5-21-2328280177-400354556-337738688-1008\unins000.exe
Ich hoffe du kannst damit etwas anfangen.
MfG, abiks
- abiks
- Beiträge: 6
- Registriert: 03.04.2006, 12:13
- Wohnort: Düsseldorf
von Nikita am 05.04.2006, 10:41
1.
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\wistererhx.exe"
PC neustarten
2.
deinstallieren
C:\Programme\Wisterer HX
3.
leere den Papierkorb
4.
loesche manuell:
C:\recycler\s-1-5-21-2328280177-400354556-337738688-1008\unins000.exe
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\wistererhx.exe"
PC neustarten
2.
deinstallieren
C:\Programme\Wisterer HX
3.
leere den Papierkorb
4.
loesche manuell:
C:\recycler\s-1-5-21-2328280177-400354556-337738688-1008\unins000.exe
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Browser Hijacker "LittleHelper"
von abiks am 05.04.2006, 13:05
Hallo Nikita,
zu 1.
Sobald ich in HiJackThis auf "fix checked" klicke, meldet mein Adaware-Monitor-Ereignisprotokoll den sofortigen Wiedereintrag von "Wisterer Hx" im gleichen Schlüssel unter HKCU...Run.
zu 2.
"Wisterer Hx" und "Roboform" habe ich schon vor einer Woche deinstalliert. Unter C:\Programme habe ich auch gleich nach der Deinstallation alle übrig gebliebenen Ordner und Dateien dieser zwei Programme gelöscht.
zu3.
Papierkorb ist geleert.
zu4.
Recycler "unins000.exe" manuell gelöscht.
Auch wenn ich unter "msconfig.exe" die beiden schon deinstallierten Programme aus dem Systemstart rausnehme, tragen sie sich sofort wieder in die Registry ein.
Nach dem Löschen der Datei "unins000.exe" im Recycler und einem neuen scan mit Spy Sweeper, wird keine erneute Infektion mit "LittleHelper" von Spy Sweeper gemeldet.
Doch es kommt weiterhin die Warnung "Spy Sweeper hat neue Programme entdeckt, die beim Start von Windows aktiviert werden. Es sind dann wieder die zwei Programme Wisterer und Roboform eingetragen.
MfG, abiks
zu 1.
Sobald ich in HiJackThis auf "fix checked" klicke, meldet mein Adaware-Monitor-Ereignisprotokoll den sofortigen Wiedereintrag von "Wisterer Hx" im gleichen Schlüssel unter HKCU...Run.
zu 2.
"Wisterer Hx" und "Roboform" habe ich schon vor einer Woche deinstalliert. Unter C:\Programme habe ich auch gleich nach der Deinstallation alle übrig gebliebenen Ordner und Dateien dieser zwei Programme gelöscht.
zu3.
Papierkorb ist geleert.
zu4.
Recycler "unins000.exe" manuell gelöscht.
Auch wenn ich unter "msconfig.exe" die beiden schon deinstallierten Programme aus dem Systemstart rausnehme, tragen sie sich sofort wieder in die Registry ein.
Nach dem Löschen der Datei "unins000.exe" im Recycler und einem neuen scan mit Spy Sweeper, wird keine erneute Infektion mit "LittleHelper" von Spy Sweeper gemeldet.
Doch es kommt weiterhin die Warnung "Spy Sweeper hat neue Programme entdeckt, die beim Start von Windows aktiviert werden. Es sind dann wieder die zwei Programme Wisterer und Roboform eingetragen.
MfG, abiks
- abiks
- Beiträge: 6
- Registriert: 03.04.2006, 12:13
- Wohnort: Düsseldorf
von Nikita am 06.04.2006, 12:47
1.
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint
2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
4.
ueberpruefe nach loeschen der Eitraege (mit HihackThis), was sich und wo wieder in der Registry verankert und schreibe es mir
http://virus-protect.org/artikel/tools/regshot.html
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint
dir /s /a "c:\wistererhx*.*" > c:\find.txt & start notepad c:\find.txt
dir /s /a "c:\unins000*.*" > c:\find.txt & start notepad c:\find.txt
2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
4.
ueberpruefe nach loeschen der Eitraege (mit HihackThis), was sich und wo wieder in der Registry verankert und schreibe es mir
http://virus-protect.org/artikel/tools/regshot.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Browser Hijacker "LittleHelper"
von abiks am 09.04.2006, 14:15
Hallo Nikita,
zu 1.
dir /s /a "c:\unins000*.*" > c:\find.txt & start notepad c:\find.txt Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\Juergen>dir /s /a "c:\wistererhx*.*" > c:\find.tx
t & start notepad c:\find.txt
Datei nicht gefunden
C:\Dokumente und Einstellungen\Juergen>dir /s /a "c:\unins000*.*" > c:\find.txt
& start notepad c:\find.txt Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
zu 2.
CleanUp eingestellt und ausgeführt
zu 3.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\WINDOWS\system32
03.04.2006 18:34 2.550 Uninstall.ico
03.04.2006 18:34 1.406 Help.ico
03.04.2006 18:34 30.590 pavas.ico
02.04.2006 15:32 176.167 rmoc3260.dll
02.04.2006 15:31 5.632 pndx5032.dll
02.04.2006 15:31 6.656 pndx5016.dll
02.04.2006 15:31 278.528 pncrt.dll
31.03.2006 19:45 442.964 perfh009.dat
31.03.2006 19:45 78.562 perfc009.dat
31.03.2006 19:45 97.228 perfc007.dat
31.03.2006 19:45 467.498 perfh007.dat
31.03.2006 19:45 1.100.180 PerfStringBackup.INI
31.03.2006 19:43 2.206 wpa.dbl
09.03.2006 17:21 4.799.320 MRT.exe
14.02.2006 10:20 550.120 LegitCheckControl.dll
08.02.2006 03:26 25.600 xpsp3res.dll
01.02.2006 04:52 3.035.648 mshtml.dll
09.01.2006 20:00 667.648 wininet.dll
09.01.2006 20:00 615.424 urlmon.dll
09.01.2006 20:00 474.624 shlwapi.dll
09.01.2006 20:00 1.495.040 shdocvw.dll
09.01.2006 20:00 530.944 mstime.dll
09.01.2006 20:00 39.424 pngfilt.dll
09.01.2006 20:00 146.432 msrating.dll
09.01.2006 20:00 448.512 mshtmled.dll
09.01.2006 20:00 96.768 inseng.dll
09.01.2006 20:00 251.904 iepeers.dll
09.01.2006 20:00 55.808 extmgr.dll
09.01.2006 20:00 205.312 dxtrans.dll
09.01.2006 20:00 1.056.256 danim.dll
09.01.2006 20:00 152.064 cdfview.dll
09.01.2006 20:00 1.022.976 browseui.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\DOKUME~1\Juergen\LOKALE~1\Temp
08.04.2006 15:24 1.236 jusched.log
20.03.2006 03:30 931.341 _iu14D2N.tmp
09.11.2005 16:11 24.613 IadHide5.dll
3 Datei(en) 957.190 Bytes
0 Verzeichnis(se), 66.312.613.888 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\WINDOWS
08.04.2006 15:46 42.038 setupapi.log
08.04.2006 14:10 215.140 WindowsUpdate.log
08.04.2006 12:49 0 0.log
08.04.2006 12:48 6.102 ModemLog_Bluetooth DUN Modem.txt
08.04.2006 12:48 6.096 ModemLog_Bluetooth Fax Modem.txt
08.04.2006 12:48 3.848 ModemLog_Creatix V.92 Data Fax Modem.txt
08.04.2006 12:48 159 wiadebug.log
08.04.2006 12:48 50 wiaservc.log
08.04.2006 12:48 2.048 bootstat.dat
08.04.2006 02:11 32.618 SchedLgU.Txt
04.04.2006 17:29 116 NeroDigital.ini
03.04.2006 18:34 32 pavsig.txt
01.04.2006 12:55 227 system.ini
01.04.2006 12:55 668 win.ini
01.04.2006 01:54 259.712 ntbtlog.txt
20.03.2006 14:34 223 HP PrecisionScan Pro.INI
24.01.2006 06:39 558 cdplayer.ini
16.01.2006 21:15 424.960 WRServices.dll
16.12.2005 15:40 490 ULead32.ini
16.12.2005 15:31 72 pex.INI
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\
08.04.2006 16:31 0 sys.txt
08.04.2006 16:24 5.152 system.txt
08.04.2006 16:20 385 systemtemp.txt
08.04.2006 16:19 102.793 system32.txt
08.04.2006 12:48 1.073.270.784 hiberfil.sys
08.04.2006 12:48 1.610.612.736 pagefile.sys
06.04.2006 23:21 70 find.txt
01.04.2006 12:55 211 boot.ini
01.04.2006 02:03 0 Log.txt
21.03.2006 17:44 0 hb_A4.tmp
21.02.2006 08:35 42.426 mmjb.DDF
30.12.2005 03:44 0 hb_7A1.tmp
zu 4.
Regshot 1.7
Kommentar:
Datum und Zeit:2006/4/9 10:58:15 , 2006/4/9 11:00:28
Computer:PETER , PETER
Benutzername: ,
----------------------------------
Werte gelöscht:3
----------------------------------
HKLM\SOFTWARE\Webroot\SpySweeper\Host File\: ""
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\0: "SW\{2f412ab5-ed3a-4590-ab24-b0ce2aa77d3c}\{9B365890-165F-11D0-A195-0020AFD156E4}"
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\0: "SW\{2f412ab5-ed3a-4590-ab24-b0ce2aa77d3c}\{9B365890-165F-11D0-A195-0020AFD156E4}"
----------------------------------
Werte geändert:15
----------------------------------
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: C3 7E 46 5D DE 9F B7 BE 1E 27 B5 CC 95 64 33 F5 19 33 DB C1 8F D5 2E DF DD FF C0 B1 9C 10 58 C9 7B B9 DF FF A3 9F F4 52 50 B3 E4 AC D6 88 F1 6D 47 09 1B 29 1F 68 95 B2 34 E6 CC A6 0E 8A AE 45 D9 A9 EA 4C 84 02 F6 41 F8 D9 C3 98 90 26 64 93
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 97 A5 4D 1E EF F4 CD 03 5B 89 BD 6F 5C 36 9B 2D D7 52 E2 0A 08 00 B0 20 33 6E 62 DD E4 03 F6 5B 9F B7 27 53 F0 38 3B 46 3A D8 A3 28 B9 43 74 32 BC 0A 78 62 C5 12 FC 33 C8 1B 59 B1 76 12 9F CD 5D 46 11 24 01 17 8A E0 86 93 88 FE 8C 8B 86 97
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00003593
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00003594
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\Count: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\NextInstance: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00003593
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00003594
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\Count: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\Count: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\NextInstance: 0x00000000
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "hedgfcbaji"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "fhedgcbaji"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\MRUList: "jgfihedcba"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\MRUList: "hjgfiedcba"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Count: 0x0000003D
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Count: 0x0000003E
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 39 00 22 00 13 02
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 3B 00 04 00 D4 01
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Count: 0x0000003D
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Count: 0x0000003E
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 39 00 22 00 2C 03
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 3B 00 04 00 9F 02
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Count: 0x0000003D
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Count: 0x0000003E
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 39 00 22 00 C8 03
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 3B 00 04 00 AF 02
----------------------------------
Dateiattribute geändert:7
----------------------------------
C:\WINDOWS\system32\config\software.LOG
C:\WINDOWS\system32\config\system.LOG
C:\WINDOWS\system32\wbem\Logs\wmiprov.log
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
----------------------------------
Gesamte Änderungen:25
----------------------------------
Mit dem Tool "regshot" habe ich Schwierigkeiten gehabt und einige Male probiert. In der Beschreibung steht, nach dem ersten Schuß den PC neu starten und dann den zweiten Scan bzw. den zweiten Schuß durchführen. Nach dem Neustart beginnt aber alles wieder von vorne, man kann nur wieder mit dem ersten Schuß beginnen.
Ich habe daraufhin die zwei Scans ohne Neustart durchgeführt und zwischen den Scans die zwei Programme Wisterer und Roboform mit HJT gelöscht.
MfG, abiks
zu 1.
dir /s /a "c:\unins000*.*" > c:\find.txt & start notepad c:\find.txt Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\Juergen>dir /s /a "c:\wistererhx*.*" > c:\find.tx
t & start notepad c:\find.txt
Datei nicht gefunden
C:\Dokumente und Einstellungen\Juergen>dir /s /a "c:\unins000*.*" > c:\find.txt
& start notepad c:\find.txt Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
zu 2.
CleanUp eingestellt und ausgeführt
zu 3.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\WINDOWS\system32
03.04.2006 18:34 2.550 Uninstall.ico
03.04.2006 18:34 1.406 Help.ico
03.04.2006 18:34 30.590 pavas.ico
02.04.2006 15:32 176.167 rmoc3260.dll
02.04.2006 15:31 5.632 pndx5032.dll
02.04.2006 15:31 6.656 pndx5016.dll
02.04.2006 15:31 278.528 pncrt.dll
31.03.2006 19:45 442.964 perfh009.dat
31.03.2006 19:45 78.562 perfc009.dat
31.03.2006 19:45 97.228 perfc007.dat
31.03.2006 19:45 467.498 perfh007.dat
31.03.2006 19:45 1.100.180 PerfStringBackup.INI
31.03.2006 19:43 2.206 wpa.dbl
09.03.2006 17:21 4.799.320 MRT.exe
14.02.2006 10:20 550.120 LegitCheckControl.dll
08.02.2006 03:26 25.600 xpsp3res.dll
01.02.2006 04:52 3.035.648 mshtml.dll
09.01.2006 20:00 667.648 wininet.dll
09.01.2006 20:00 615.424 urlmon.dll
09.01.2006 20:00 474.624 shlwapi.dll
09.01.2006 20:00 1.495.040 shdocvw.dll
09.01.2006 20:00 530.944 mstime.dll
09.01.2006 20:00 39.424 pngfilt.dll
09.01.2006 20:00 146.432 msrating.dll
09.01.2006 20:00 448.512 mshtmled.dll
09.01.2006 20:00 96.768 inseng.dll
09.01.2006 20:00 251.904 iepeers.dll
09.01.2006 20:00 55.808 extmgr.dll
09.01.2006 20:00 205.312 dxtrans.dll
09.01.2006 20:00 1.056.256 danim.dll
09.01.2006 20:00 152.064 cdfview.dll
09.01.2006 20:00 1.022.976 browseui.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\DOKUME~1\Juergen\LOKALE~1\Temp
08.04.2006 15:24 1.236 jusched.log
20.03.2006 03:30 931.341 _iu14D2N.tmp
09.11.2005 16:11 24.613 IadHide5.dll
3 Datei(en) 957.190 Bytes
0 Verzeichnis(se), 66.312.613.888 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\WINDOWS
08.04.2006 15:46 42.038 setupapi.log
08.04.2006 14:10 215.140 WindowsUpdate.log
08.04.2006 12:49 0 0.log
08.04.2006 12:48 6.102 ModemLog_Bluetooth DUN Modem.txt
08.04.2006 12:48 6.096 ModemLog_Bluetooth Fax Modem.txt
08.04.2006 12:48 3.848 ModemLog_Creatix V.92 Data Fax Modem.txt
08.04.2006 12:48 159 wiadebug.log
08.04.2006 12:48 50 wiaservc.log
08.04.2006 12:48 2.048 bootstat.dat
08.04.2006 02:11 32.618 SchedLgU.Txt
04.04.2006 17:29 116 NeroDigital.ini
03.04.2006 18:34 32 pavsig.txt
01.04.2006 12:55 227 system.ini
01.04.2006 12:55 668 win.ini
01.04.2006 01:54 259.712 ntbtlog.txt
20.03.2006 14:34 223 HP PrecisionScan Pro.INI
24.01.2006 06:39 558 cdplayer.ini
16.01.2006 21:15 424.960 WRServices.dll
16.12.2005 15:40 490 ULead32.ini
16.12.2005 15:31 72 pex.INI
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D8
Verzeichnis von C:\
08.04.2006 16:31 0 sys.txt
08.04.2006 16:24 5.152 system.txt
08.04.2006 16:20 385 systemtemp.txt
08.04.2006 16:19 102.793 system32.txt
08.04.2006 12:48 1.073.270.784 hiberfil.sys
08.04.2006 12:48 1.610.612.736 pagefile.sys
06.04.2006 23:21 70 find.txt
01.04.2006 12:55 211 boot.ini
01.04.2006 02:03 0 Log.txt
21.03.2006 17:44 0 hb_A4.tmp
21.02.2006 08:35 42.426 mmjb.DDF
30.12.2005 03:44 0 hb_7A1.tmp
zu 4.
Regshot 1.7
Kommentar:
Datum und Zeit:2006/4/9 10:58:15 , 2006/4/9 11:00:28
Computer:PETER , PETER
Benutzername: ,
----------------------------------
Werte gelöscht:3
----------------------------------
HKLM\SOFTWARE\Webroot\SpySweeper\Host File\: ""
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\0: "SW\{2f412ab5-ed3a-4590-ab24-b0ce2aa77d3c}\{9B365890-165F-11D0-A195-0020AFD156E4}"
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\0: "SW\{2f412ab5-ed3a-4590-ab24-b0ce2aa77d3c}\{9B365890-165F-11D0-A195-0020AFD156E4}"
----------------------------------
Werte geändert:15
----------------------------------
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: C3 7E 46 5D DE 9F B7 BE 1E 27 B5 CC 95 64 33 F5 19 33 DB C1 8F D5 2E DF DD FF C0 B1 9C 10 58 C9 7B B9 DF FF A3 9F F4 52 50 B3 E4 AC D6 88 F1 6D 47 09 1B 29 1F 68 95 B2 34 E6 CC A6 0E 8A AE 45 D9 A9 EA 4C 84 02 F6 41 F8 D9 C3 98 90 26 64 93
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 97 A5 4D 1E EF F4 CD 03 5B 89 BD 6F 5C 36 9B 2D D7 52 E2 0A 08 00 B0 20 33 6E 62 DD E4 03 F6 5B 9F B7 27 53 F0 38 3B 46 3A D8 A3 28 B9 43 74 32 BC 0A 78 62 C5 12 FC 33 C8 1B 59 B1 76 12 9F CD 5D 46 11 24 01 17 8A E0 86 93 88 FE 8C 8B 86 97
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00003593
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00003594
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\Count: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\splitter\Enum\NextInstance: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00003593
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00003594
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\Count: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\Count: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\splitter\Enum\NextInstance: 0x00000000
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "hedgfcbaji"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "fhedgcbaji"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\MRUList: "jgfihedcba"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\MRUList: "hjgfiedcba"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Count: 0x0000003D
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Count: 0x0000003E
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 39 00 22 00 13 02
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 3B 00 04 00 D4 01
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Count: 0x0000003D
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Count: 0x0000003E
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 39 00 22 00 2C 03
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D1FD2B7-1877-451F-95CD-0CAC38C104C5}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 3B 00 04 00 9F 02
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Count: 0x0000003D
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Count: 0x0000003E
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 39 00 22 00 C8 03
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA58ED58-01DD-4D91-8333-CF10577473F7}\iexplore\Time: D6 07 04 00 00 00 09 00 0A 00 3B 00 04 00 AF 02
----------------------------------
Dateiattribute geändert:7
----------------------------------
C:\WINDOWS\system32\config\software.LOG
C:\WINDOWS\system32\config\system.LOG
C:\WINDOWS\system32\wbem\Logs\wmiprov.log
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
----------------------------------
Gesamte Änderungen:25
----------------------------------
Mit dem Tool "regshot" habe ich Schwierigkeiten gehabt und einige Male probiert. In der Beschreibung steht, nach dem ersten Schuß den PC neu starten und dann den zweiten Scan bzw. den zweiten Schuß durchführen. Nach dem Neustart beginnt aber alles wieder von vorne, man kann nur wieder mit dem ersten Schuß beginnen.
Ich habe daraufhin die zwei Scans ohne Neustart durchgeführt und zwischen den Scans die zwei Programme Wisterer und Roboform mit HJT gelöscht.
MfG, abiks
- abiks
- Beiträge: 6
- Registriert: 03.04.2006, 12:13
- Wohnort: Düsseldorf
von Nikita am 09.04.2006, 19:01
keine der Veraenderungen hat, soweit ich es beurteilen kann mit den zwei Eintragen zu tun.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
WistererHX
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
in: "Enter search strings" (reinschreiben oder reinkopieren)
RoboForm
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
----------
aber irgendeine Malware ist auf dem Rechner... mal sehen, ob wir es rausfunden, was es ist:
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
WistererHX
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
in: "Enter search strings" (reinschreiben oder reinkopieren)
RoboForm
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
----------
aber irgendeine Malware ist auf dem Rechner... mal sehen, ob wir es rausfunden, was es ist:
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "hedgfcbaji"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "fhedgcbaji"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\MRUList: "jgfihedcba"
HKU\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\hiv\MRUList: "hjgfiedcba"
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Browser Hijacker "LittleHelper"
von abiks am 10.04.2006, 01:24
Hallo Nikita,
hier die Registry Search nach "WistererHX" und "RoboForm".
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1
; Results at 10.04.2006 00:32:06 for strings:
; 'wistererhx'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WistererHX]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WistererHX]
"item"="wistererhx"
"command"="\"C:\\Programme\\Wisterer HX\\wistererhx.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Webroot\SpySweeper\Startup\id_55]
"ValueName"="WistererHX"
"Value"="\"C:\\Programme\\Wisterer HX\\wistererhx.exe\""
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Run]
"WistererHX"="\"C:\\Programme\\Wisterer HX\\wistererhx.exe\""
; End Of The Log...
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1
; Results at 10.04.2006 00:36:58 for strings:
; 'roboform'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RoboForm]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RoboForm]
"command"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Siber Systems\RoboForm]
[HKEY_LOCAL_MACHINE\SOFTWARE\Webroot\SpySweeper\Startup\id_58]
"ValueName"="RoboForm"
"Value"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Run]
"RoboForm"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Siber Systems]
"_RootUserDataDir"="C:\\My RoboForm Data\\Juergen"
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Siber Systems\RoboForm]
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Siber Systems\RoboForm]
"RootUserDataDir"="C:\\My RoboForm Data\\Juergen"
; End Of The Log...
Als Wisterer und Roborm noch installiert waren, versuchte Wisterer immer auf das TaskBar Icon von Roboform zuzugreifen.
Das Passwort Programm Roboform war im Internet Explorer integriert.
MfG, abiks
hier die Registry Search nach "WistererHX" und "RoboForm".
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1
; Results at 10.04.2006 00:32:06 for strings:
; 'wistererhx'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WistererHX]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WistererHX]
"item"="wistererhx"
"command"="\"C:\\Programme\\Wisterer HX\\wistererhx.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Webroot\SpySweeper\Startup\id_55]
"ValueName"="WistererHX"
"Value"="\"C:\\Programme\\Wisterer HX\\wistererhx.exe\""
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Run]
"WistererHX"="\"C:\\Programme\\Wisterer HX\\wistererhx.exe\""
; End Of The Log...
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1
; Results at 10.04.2006 00:36:58 for strings:
; 'roboform'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RoboForm]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RoboForm]
"command"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Siber Systems\RoboForm]
[HKEY_LOCAL_MACHINE\SOFTWARE\Webroot\SpySweeper\Startup\id_58]
"ValueName"="RoboForm"
"Value"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Microsoft\Windows\CurrentVersion\Run]
"RoboForm"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Siber Systems]
"_RootUserDataDir"="C:\\My RoboForm Data\\Juergen"
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Siber Systems\RoboForm]
[HKEY_USERS\S-1-5-21-2328280177-400354556-337738688-1008\Software\Siber Systems\RoboForm]
"RootUserDataDir"="C:\\My RoboForm Data\\Juergen"
; End Of The Log...
Als Wisterer und Roborm noch installiert waren, versuchte Wisterer immer auf das TaskBar Icon von Roboform zuzugreifen.
Das Passwort Programm Roboform war im Internet Explorer integriert.
MfG, abiks
- abiks
- Beiträge: 6
- Registriert: 03.04.2006, 12:13
- Wohnort: Düsseldorf
von Nikita am 10.04.2006, 12:14
start - Ausfuehren - regedit
bearbeiten - suchen - WistererHX
loesche alles aus der Registry, was du finden kannst.
PC neustarten
-------------
scanne mit Bitdefender ScanOnline neu und poste den scanreport
http://virus-protect.org/onlinescan.html
bearbeiten - suchen - WistererHX
loesche alles aus der Registry, was du finden kannst.
PC neustarten
-------------
scanne mit Bitdefender ScanOnline neu und poste den scanreport
http://virus-protect.org/onlinescan.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Browser Hijacker "LittleHelper"
von abiks am 12.04.2006, 15:30
Hallo Nikita,
habe alle Registry-Einträge von "WistererHX und RoboForm" gelöscht, den PC neu gestartet und einen Online-Scann mit Bitdefender durchgeführt. Bitdefender hat keine Malware gefunden.
Danach habe ich einen weiteren Online-Scann mit Kaspersky durchgeführt, ebenfalls ohne Funde.
Es war aber festzustellen, daß sich nach Löschen der Registry-Einträge und beim Neustart, beide Exe-Dateien von WistererHX und RoboForm, wieder in HKCU:Run eintragen. Alle anderen, vorher gelöschten Einträge haben sich nicht mehr in die Registry eingetragen.
Übrigens Spy Sweeper bezeichnet die Malware LittleHelper als "Ad-ware" die den Internet Explorer ausspioniert.
MfG, abiks
Hier der Scann-Report von Bitdefender.
BitDefender Online Scanner
Bericht erstellt am: Tue, Apr 11, 2006 - 19:21:22
Zu prüfender Pfad: C:;D:;E:;F:;G:;H:;I:;J:;K:;
Statistik
Zeit
00:54:47
Dateien
385607
Ordner
5939
Boot-Sektoren
6
Archive
14131
Komprimierte Dateien
30671
Ergebnisse
Erkannte Viren
0
Infizierte Dateien
0
verdächtige Dateien
0
Warnungen
0
Desinfiziert
0
Gelöscht
0
Engine-Info
Virensignaturen
369525
Engine info
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)
Prüf-Plugins
13
Archiv-Plugins
39
Extraktions-Plugins
4
E-Mail-Plugins
6
System-Plugins
1
Prüfeinstellungen
Primäre Aktion
Desinfizieren
Sekundäre Aktion
Löschen
Heuristik
Ja
Warnungen aktivieren
Ja
Zu prüfende Erweiterungen
*;
Auszuschließende Erweiterungen
E-Mails prüfen
Ja
Archive prüfen
Ja
Komprimierte Dateien prüfen
Ja
Dateien prüfen
Ja
Boot-Sektoren prüfen
Ja
Geprüfte Dateien
Status
Keine Viren gefunden
habe alle Registry-Einträge von "WistererHX und RoboForm" gelöscht, den PC neu gestartet und einen Online-Scann mit Bitdefender durchgeführt. Bitdefender hat keine Malware gefunden.
Danach habe ich einen weiteren Online-Scann mit Kaspersky durchgeführt, ebenfalls ohne Funde.
Es war aber festzustellen, daß sich nach Löschen der Registry-Einträge und beim Neustart, beide Exe-Dateien von WistererHX und RoboForm, wieder in HKCU:Run eintragen. Alle anderen, vorher gelöschten Einträge haben sich nicht mehr in die Registry eingetragen.
Übrigens Spy Sweeper bezeichnet die Malware LittleHelper als "Ad-ware" die den Internet Explorer ausspioniert.
MfG, abiks
Hier der Scann-Report von Bitdefender.
BitDefender Online Scanner
Bericht erstellt am: Tue, Apr 11, 2006 - 19:21:22
Zu prüfender Pfad: C:;D:;E:;F:;G:;H:;I:;J:;K:;
Statistik
Zeit
00:54:47
Dateien
385607
Ordner
5939
Boot-Sektoren
6
Archive
14131
Komprimierte Dateien
30671
Ergebnisse
Erkannte Viren
0
Infizierte Dateien
0
verdächtige Dateien
0
Warnungen
0
Desinfiziert
0
Gelöscht
0
Engine-Info
Virensignaturen
369525
Engine info
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)
Prüf-Plugins
13
Archiv-Plugins
39
Extraktions-Plugins
4
E-Mail-Plugins
6
System-Plugins
1
Prüfeinstellungen
Primäre Aktion
Desinfizieren
Sekundäre Aktion
Löschen
Heuristik
Ja
Warnungen aktivieren
Ja
Zu prüfende Erweiterungen
*;
Auszuschließende Erweiterungen
E-Mails prüfen
Ja
Archive prüfen
Ja
Komprimierte Dateien prüfen
Ja
Dateien prüfen
Ja
Boot-Sektoren prüfen
Ja
Geprüfte Dateien
Status
Keine Viren gefunden
- abiks
- Beiträge: 6
- Registriert: 03.04.2006, 12:13
- Wohnort: Düsseldorf
11 Beiträge • Seite 1 von 1
Ähnliche Themen
| Workshop zum Thema "Einbau einer zweiten Festplatte&quo Forum: Feedback Autor: YX2FLY Antworten: |
ICQ aus "Eigene Dateien" löschen Forum: Software-Hilfe Autor: pet58 Antworten: |
kann "DFÜ-Speed" einfach nicht herrunterladen Forum: Software-Hilfe Autor: maus Antworten: |
Fehlermeldung "Interner Zielgeräte Fehler" Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Wurm "Sobig.F" treibt Internet-Nutzer in den Wahns Forum: Online- und PC-Sicherheit Autor: Computerdirk Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste