hallo

ich hatte vor einiger zeit probleme mit Trojanern und einem Winsock virus und mir wurde hier super geholfen allerdings scheinen sich da noch ein teil dieser problemchen vesteckt eingenistet zu haben , diese habe ich durch zufall mit dem Tool XoftSpy gefunden. Leider kann ich mit dem Tool nur scannen das fixen geht nur mit registrierung und das ist nicht billig .

Ich sende euch aber mal die Logfile mit den gefundenen Problemchen,
was ich bitten möchte wäre , wie kann ich manuell diese angezeigte Malware und Misc im RegKey bzw. von der Festplatte löschen?
Habe mit euren Tools die ich habe auch gescannt aber nichts von dem wurde angezeigt nur dieses Tool zeigt mir das gefundene hier.

Logfile:

CoolWebSearch
Name: software\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com
Type: Potentially Dangerrous
Registry Key
2) MainPean Dialer
Name: Software\Freeware
Type: High Threat
Registry Key
3) MyWebSearch Toolbar
Name: CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
Type: High Threat

Registry Key
4) MyWebSearch Toolbar
Name: Software\MyWebSearch
Type: High Threat
Registry Key
5) MyWebSearch Toolbar
Name: SOFTWARE\MyWebSearch\SearchAssistant
Type: High Threat

Registry Key
6) Winpup32
Name: Interface\{48E59291-9880-11CF-9754-00AA00C00908}
Type: Minimal Threat

Registry Key
7) Winpup32
Name: Interface\{48E59292-9880-11CF-9754-00AA00C00908}
Type: Minimal Threat

Registry Key
8. CWS.Oslogo
Name: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com
Type:

Registry Key
9) CWS.mrhop
Name: Software\Microsoft\Internet Explorer\Main\Local Page:@:C:\WINDOWS\System32\blank.htm
Type: Threat

Registry Value
10) CWS.mrhop
Name: Software\Microsoft\Internet Explorer\Main\Local Page:@:C:\WINDOWS\System32\blank.htm
Type: Threat

Registry Value
11) SaveNow
Name: C:\WINDOWS\System32\vbar332.dll
Type: File
Threat

@dolli
Ohne das HijackThis, kann ich nicht viel helfen...
Downloadlink:

http://www.downloads.subratam.org/hijackthis.zip

mfg
Nikita

@ nikita

ich habe schon mit den Tools die du mir vor ein paar wochen gegeben hast gescannt aber da hat es diese Malware nicht gefunden.
Die Tools die ich habe sind Ad-aware 6.0, Spybot....

aber die Log kann ich dir schicken:

Logfile of HijackThis v1.97.7
Scan saved at 14:51:58, on 19.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Susanne Heilig\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programme\Popup Blockade\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\OUTLOO~1\SSK\SSK.EXE
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://www.messenger.lycos.de/messenger ... grCore.cab
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.media18.de/spezial/wmactive.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/o ... winrep.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15b15009e02 ... 601_de.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupda ... t/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2928009259
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.c ... i_0727.dll
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.msn.de/r/neutral/controls ... 5,0,1730,0
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab

@ nikita

ich habe das meiste von diesen Malwaremeldungen gefunden wenn ich mit regedit in meine Reg gehe, nur Registry Key
3) MyWebSearch Toolbar
Name: CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239} +

Registry Key
6) Winpup32
Name: Interface\{48E59291-9880-11CF-9754-00AA00C00908}
Type: Minimal Threat

Registry Key
7) Winpup32
Name: Interface\{48E59292-9880-11CF-9754-00AA00C00908}
Type: Minimal Threat


habe ich nicht gefunden da der genaue Pfad nicht dabei steht.

Kann man die gefundenen Meldungen dort auch manuell löschen so das sie aus der Reg ganz raus sind?

Fixe
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.media18.de/spezial/wmactive.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab

NEUSTARTEN


Hast du so was geladen ?

PopSwatterBarButton FunWebProducts.PopSwatterSettingsControl.1 FunWebProducts.PopSwatterSettingsControl
CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
Wenn ja, loesche es .

..................................................................................................
WinPup32

HKEY_CLASSES_ROOT\pup.setup
HKEY_LOCAL_MACHINE\software\pup
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
http://forums.net-integration.net/index ... &hl=adroar

neustarten

#Suche und loesche:
system32\winpup32.exe
msa32chk.dll

scanne dann noch mal mit deinem Arsenal an Spyscannern...aber im abgesicherten Modus !!
http://www.bsi.de/av/texte/winsave.htm

mfg
Nikita

@ nikita

ich habe mit meinem Regfinder nach dem Pfad gesucht:
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
und das hat er dabei gefunden gehört das alles dazu?? kann man das unbedenklicjh löschen??




HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Control, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Implemented Categories, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Implemented Categories\{0DE86A52-2BAA-11CF-A229-00AA003D7352}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Implemented Categories\{0DE86A53-2BAA-11CF-A229-00AA003D7352}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Implemented Categories\{0DE86A57-2BAA-11CF-A229-00AA003D7352}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Implemented Categories\{40FC6ED4-2438-11CF-A3DB-080036F12502}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\InprocServer32, {KEY}, {KEY}, 08.08.2003, 17:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\MiscStatus, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\MiscStatus\1, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\ProgID, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Programmable, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\ToolboxBitmap32, {KEY}, {KEY}, 08.08.2003, 17:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\TypeLib, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\TypeLib, @, {48E59290-9880-11CF-9754-00AA00C00908}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\Version, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\VersionIndependentProgID, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, CLSID\{48E59294-9880-11CF-9754-00AA00C00908}, {KEY}, {KEY}, 24.02.2004, 14:34
HKEY_CLASSES_ROOT, CLSID\{48E59294-9880-11CF-9754-00AA00C00908}\InprocServer32, {KEY}, {KEY}, 24.02.2004, 14:34
HKEY_CLASSES_ROOT, CLSID\{48E59295-9880-11CF-9754-00AA00C00908}, {KEY}, {KEY}, 24.02.2004, 14:34
HKEY_CLASSES_ROOT, CLSID\{48E59295-9880-11CF-9754-00AA00C00908}\InprocServer32, {KEY}, {KEY}, 24.02.2004, 14:34
HKEY_CLASSES_ROOT, InetCtls.Inet\CLSID, @, {48E59293-9880-11CF-9754-00AA00C00908}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, InetCtls.Inet.1\CLSID, @, {48E59293-9880-11CF-9754-00AA00C00908}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, Interface\{48E59292-9880-11CF-9754-00AA00C00908}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, Interface\{48E59292-9880-11CF-9754-00AA00C00908}\ProxyStubClsid, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, Interface\{48E59292-9880-11CF-9754-00AA00C00908}\ProxyStubClsid32, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, Interface\{48E59292-9880-11CF-9754-00AA00C00908}\TypeLib, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, Interface\{48E59292-9880-11CF-9754-00AA00C00908}\TypeLib, @, {48E59290-9880-11CF-9754-00AA00C00908}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}\1.0, {KEY}, {KEY}, 03.07.2004, 09:27
HKEY_CLASSES_ROOT, TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}\1.0\0, {KEY}, {KEY}, 10.06.2003, 13:45
HKEY_CLASSES_ROOT, TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}\1.0\0\win32, {KEY}, {KEY}, 08.08.2003, 17:45
HKEY_CLASSES_ROOT, TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}\1.0\FLAGS, {KEY}, {KEY}, 10.06.2003, 13:45
[/quote]

@nikita

in dem HKey_Classes_Root habe ich das links gefunden:

funAddressbook.funAddressbook,funAddressbook.funAddressbook1,
funBanking, FunIntegCheckMaster.FunIntegCheckMaster1,FunLayer.funLayer,Funmsgmc.funMessageMangemant+1,
FunProtocol.funProtocolHttp+1,FunProtocol.funProtocolLdap+1,Funprotocol.funProtocolPop+1,
FunProtocol.funProtocolSmtp+1, FunRand.funRand+1,funsmpki.SMiME_API+1,FunText.funText+1,FunTransmission.funTransmission+1,
FunUserManagement.funUserManagement+1,funWebCAComm.funWebCAProxy+1

in diesen Keys sind Unterordner CLSID könnte es sein das das dies Fun Webprodukts sind ?

@nikita

dies: #Suche und loesche:
system32\winpup32.exe
msa32chk.dll

habe ich gesucht aber nichts gefunden

@nikita


ich habe jetzt im abgesicherten modus noch mal alles gescannt und das ist jetzt die neue Log:

Logfile of HijackThis v1.97.7
Scan saved at 18:29:53, on 19.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\OUTLOO~1\SSK\SSK.EXE
C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Susanne Heilig\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programme\Popup Blockade\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\OUTLOO~1\SSK\SSK.EXE
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://www.messenger.lycos.de/messenger ... grCore.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/o ... winrep.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15b15009e02 ... 601_de.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupda ... t/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2928009259
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.c ... i_0727.dll
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.msn.de/r/neutral/controls ... 5,0,1730,0
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab

#Ich wuerde nur loesche, was der Spybot angezeigt hat....
software\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com
CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}

........................................................................................................
Software\Microsoft\Internet Explorer\Main\Local Page:@:C:\WINDOWS\System32\blank.htm
------------------------------------------------------------------------------------
#CLSID <Fun Webprodukts< sind
Schau mal, ob du eine CLSID findest, die der von Spybot beanstandeten entspricht.
CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
die wuerde ich loeschen
...................................................................................................
#Suche und loesche den Dialer
MainPean Dialer

HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {D037F883-92C3-4F89-A302-C01127CF3C72}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {E0B795B4-FD95-4ABD-A375-27962EFCE8CF}\
HKEY_LOCAL_MACHINE\SOFTWARE\MainPean Highspeed\'

neustarten

Loesche:'%WinDir%\p2p-10110.exe'
\hacker spider[1].exe

.........................................................................................................

#Loesche SaveNow
C:\WINDOWS\System32\vbar332.dll

Fixe noch:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

##Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!)
http://www.bsi.de/av/texte/winsave.htm
(F8 druecken, wenn der Computer hochfaehrt
-----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.


Loesche unter InternetOptionen
Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.
Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben.

mfg
Nikita
Klicken Sie auf OK.


mfg
Nikita

@ nikita

habe soeben den escan mit mwav auf dem abgesicherten modus gemacht dies wurde angezeigt:

1. File C:\WINDOWS\System32\NLNP13.dll-infected by "not-a-virus:AdvWare.IGetNet" Virus. Aktion Taken. File Renamed

2. File C:\Dokumente und Einstellungen\Susanne\Eigene Dateien\backup-20040623-151416-207.dll - infected by "not-a-virus: AdvWare.Wesbar". Aktion Taken. File Renamed

3. File C:\Dokumente und Einstellungen\Susanne\Eigene Dateien\Eigene Downloads\SpyDoktorSetup.exe - tagged as not a virus. Tool.Win32Reboot. No Aktion taken

4. File C:\Dokumente und Einstellungen\Susanne\Eigene Dateien\winwma.zip - tagged as not a virus. Tool.Win32Reboot. No Aktion taken

5.File C:\Dokumente und Einstellungen\Susanne\Eigene Dateien\ymsgrde5.exe - tagged as not a virus. Tool.Win32Reboot. No Aktion taken

6. File C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll - infected by "not-a-virus: AdvWare.Toolbar Yahoo! Aktion taken

7. File C:\WINDOWS\System\N0.exe - infected by "not-a-virus: TrojanDownloader.Win32.Small.rg" Virus- Aktion taken.- File Deleted

8. File C:\System VolumeInformation\_restore{B76FEEDE-1470-4F135-877B23CF433BCF1A}\RP28\A0072193.dll
infected by:AdvWare.IGetNet Virus- Aktion taken - File Renamed

9. File C:\System VolumeInformation\_restore{B76FEEDE-1470-4F135-877B23CF433BCF1A}\RP28\A0072194.dll
infected by:AdvWare.Toolbar.Yahoo - Aktion taken- File Renamed


wie muss ich da jetzt vorgehen??

Na also...
Jetzt deaktivierst du noch die Systemwiederherstellung (booten und wieder aktivieren)
und scannst noch mal mit Spybot.
Poste dann, was noch gefunden wird

Und deinstalliere diese Yahoo-Toolbar.
mfg
Nikita

@ nikita

habe alles gemacht Spybot zeigte was an und zwar bei jedem scan auch wenn ich alles dann mit der taste Markierte Probleme beheben klicke und es bestätigt das alles behoben ist.

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-1449542653-3020190987-2214429306-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

@ nikita

was mache ich dann mit den anderen meldungen von mwav die oben aufgeführt sind??

Kann ich diese manuell über den angegebenen Pfad suchen und löcschen ??

Hallo @dolli
Du brauchst nichts mehr manuell zu loeschen...das hat der eScan schon erledigt .

#Du musst nur noch deie Yahoo-Toolbar deinstallieren und loesche:
C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll

Zum ExploidProblem , lies dir das durch und stelle es in der Registry ein.
http://www.google.de/search?q=cache:XPF ... lr=lang_de

Gruss
Nikita