Virus / trojaner ? -> kann mein Hintergrundbild nicht änd

[Muhi]

Hallo leute,

habe folgendes Problem. Gestern musste ich meine Firewall leider kurz neu starten da sie abgeschmiert ist, und leider war ich so klug meinen IE offen zu lassen und das i-net kabel drinnen zu lassen, denn kurz nach dem neustarten der wall tauchte auf einmal ein komisches symbol unten in der taskleiste auf. Das mir verkündet hat das ich Spyware haben würde und irgendwas da anklicken solle ... habe versucht das problem mit hilfe des Windows Task-Managers ausfindig zu machen, doch nicht mal als ich den geöffnet hatte, tauchte ein program auf das aussah wie Ad-Aware. Anscheinend halt ein werbegag oder was auch immer ... nun ja habe alles sofort geschlossen und die zugehörigen dateien mithilfe der suchfunktion ausfindig gemacht und gelöscht, insgesammt so ca 7-8 files. Nun ist zwar kein icon mehr da, es öffnen sich auch keine ungewöhnlichen programme, ich habe aber einen hässlichen hintergrund -- hier der screen -- und ich kann den nicht ändern ... den sobald ich in die desktop einstellungen gehe ist die auswahl grau, wie man auch auf dem screenshot sehen kann...

habe ad-aware laufen lassen, avg laufen lassen, spybot laufen lassen ... und jetz hab ich mal hijack laufen lassen, und hoffe ihr könnt mir weiterhelfen wen ich euch den log poste. hab auch nen screen -- click here -- wo ich die vermuteten ursacher angekreuzt hab, habe sie aber noch nicht gelöscht ... werde es gleich vermutlich mal versuchen ....

aber hier erstmal der log:


Logfile of HijackThis v1.99.1
Scan saved at 16:23:44, on 17.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Muhi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.muh1.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {9CD67463-6B44-4BCB-B248-45384E74F9C1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {9CD67463-6B44-4BCB-B248-45384E74F9C1} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


und sorry wegen der grösse der screens . hoffe ihr habt alle dsl

[Nikita]

Hallo@Muhi

poste das Log vom Silentrunner
http://virus-protect.net/silentrunner.html

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.net/datfindbat.html

-------------------------------------------------------------

Info:
http://virus-protect.net/artikel/spyware/secure_32.html

[Muhi]

danke für die hilfe , hatte genau die dateien schon vorhin angekreuzt -- war auch nicht sonderlich schwer weil ich gerade formatiert hatte . Da fielen die leicht auf . Auf jeden fall ist nun alles bereinigt, werde den log aber morgen noch nachposten falls ich mir da evtl noch was eingehandelt hab in dieser kurzen pause ohne FW ... thx auf jeden fall

p.s. nette page

[NeMoX]

danke für die hilfe , hatte genau die dateien schon vorhin angekreuzt -- war auch nicht sonderlich schwer weil ich gerade formatiert hatte . Da fielen die leicht auf . Auf jeden fall ist nun alles bereinigt, werde den log aber morgen noch nachposten falls ich mir da evtl noch was eingehandelt hab in dieser kurzen pause ohne FW ... thx auf jeden fall

p.s. nette page

hi
also ich habe genau das selbe Problem und auch alle diese dateien gelöscht, aber ich kann mir immer noch kein hintergrundbild aussuchen. könnte mir jemand helfen, hab nämlich keine ahnung was ich noch tun kann.

[Nikita]

NeMoX

http://virus-protect.net/silentrunner.html
poste hier das Log vom Silentruner

+

die 4 Textdateien
http://virus-protect.net/datfindbat.html

[NeMoX]

hat sich schon erledigt
ich hab mir counterspy runtergeladen, da wurde noch etwas gefunden und jetzt ist alles wieder in ordnung.
trotzdem thx

[Starloader]

Cooles Forum hier, habe lange gegoogelt bis ich soziale Leute gefunden habe.

Nachdem ich mir hier mal alles durchgelesen habe, werde ich jetzt einfach mal genau das machen was Nikita beschrieben hat:

Silenthunter Report:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"VC5Player" = "C:\Programme\HHVcdV5Sys\VC5Play.exe" ["H+H Software GmbH"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"WIAWizardMenu" = "RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQLite\ICQLiteShell.dll" [empty string]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQLite\ICQLiteShell.dll" [empty string]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQLite\ICQLiteShell.dll" [empty string]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQ\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"RpcxSs.Dll" [MS]}
Virtual CD v5 Security service, VC5SecS, "C:\Programme\HHVcdV5Sys\VC5SecS.exe" ["H+H Software GmbH"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 247 seconds, including 18 seconds for message boxes)


system32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C1A-3600

Verzeichnis von C:\WINDOWS\system32

29.11.2005 21:50 43.520 CmdLineExt03.dll
29.11.2005 17:50 4.073 paytime.exe
29.11.2005 17:50 24.576 RpcxSs.dll
29.11.2005 17:50 69.632 bnmsrv.exe
26.11.2005 16:37 2.184 wpa.dbl
19.11.2005 20:45 16.832 amcompat.tlb
19.11.2005 20:45 23.392 nscompat.tlb
06.11.2005 17:49 21.840 SIntfNT.dll
06.11.2005 17:49 17.212 SIntf32.dll
06.11.2005 17:49 12.067 SIntf16.dll
30.10.2005 17:37 316.594 perfh007.dat
30.10.2005 17:37 39.992 perfc009.dat
30.10.2005 17:37 311.604 perfh009.dat
30.10.2005 17:37 48.156 perfc007.dat
30.10.2005 17:37 723.744 PerfStringBackup.INI
31.08.2005 04:26 3.799 jupdate-1.5.0_04-b05.log
03.06.2005 02:52 127.078 javaws.exe
03.06.2005 02:52 49.265 jpicpl32.cpl
03.06.2005 01:24 49.250 javaw.exe
03.06.2005 01:24 49.248 java.exe
16.05.2005 10:49 107.008 FNTCACHE.DAT
21.04.2005 14:45 69.632 ElbyCDIO.dll
17.03.2005 20:08 552 d3d8caps.dat
16.03.2005 19:58 25.065 wmpscheme.xml
16.03.2005 19:55 261 $winnt$.inf
16.03.2005 19:53 2.951 CONFIG.NT
16.03.2005 19:52 488 logonui.exe.manifest
16.03.2005 19:52 488 WindowsLogon.manifest
16.03.2005 19:52 749 wuaucpl.cpl.manifest
16.03.2005 19:52 749 sapi.cpl.manifest
16.03.2005 19:52 749 nwc.cpl.manifest
16.03.2005 19:52 749 ncpa.cpl.manifest
16.03.2005 19:52 749 cdplayer.exe.manifest
16.03.2005 19:51 21.740 emptyregdb.dat
16.03.2005 19:49 0 h323log.txt
14.03.2005 20:30 61.440 pxhpinst.exe
11.03.2005 23:48 109.568 pxinsi64.exe
11.03.2005 23:48 108.544 pxcpyi64.exe
11.03.2005 23:48 56.832 pxcpya64.exe
11.03.2005 23:48 56.320 pxinsa64.exe
11.03.2005 23:28 151.552 pxwma.dll
11.03.2005 23:28 339.968 pxwave.dll
11.03.2005 23:28 172.032 pxmas.dll
11.03.2005 23:28 28.672 vxblock.dll
11.03.2005 23:28 405.504 pxdrv.dll
11.03.2005 23:28 339.968 px.dll
29.10.2004 14:29 221.184 wpcap.dll
29.10.2004 14:13 81.920 packet.dll
29.10.2004 14:13 61.440 wanpacket.dll
11.08.2004 20:45 9.216 asferror.dll
11.08.2004 20:45 228.352 wmerror.dll
11.08.2004 20:45 86.016 wmpshell.dll
11.08.2004 20:45 3.407.872 wmploc.dll
11.08.2004 20:45 311.808 MSWMDM.dll
11.08.2004 20:45 482.816 Audiodev.dll
11.08.2004 01:39 2.362.104 wmvcore.dll
11.08.2004 01:39 773.368 wmsdmod.dll
11.08.2004 01:38 871.160 wmvdmod.dll
11.08.2004 01:38 531.192 wmspdmod.dll
11.08.2004 01:38 1.181.944 wmvadvd.dll
11.08.2004 01:38 380.144 wmadmod.dll
11.08.2004 01:38 253.688 drmclien.dll
11.08.2004 01:38 360.176 MSSCP.dll
11.08.2004 01:37 290.816 WMDRMNet.dll
11.08.2004 01:37 344.064 WMDRMdev.dll
11.08.2004 01:36 527.360 drmv2clt.dll
11.08.2004 01:36 233.472 blackbox.dll
11.08.2004 01:36 141.312 msnetobj.dll
11.08.2004 01:36 95.232 drmstor.dll
11.08.2004 00:45 1.509.376 WMVADVE.DLL
11.08.2004 00:45 221.184 qasf.dll
11.08.2004 00:45 161.792 cewmdm.dll
11.08.2004 00:45 135.168 wmpasf.dll
11.08.2004 00:45 30.208 WMDMLOG.dll
11.08.2004 00:45 169.472 MsPMSP.dll
11.08.2004 00:45 25.088 MsPMSNSv.dll
11.08.2004 00:45 712.704 wmadmoe.dll
11.08.2004 00:45 282.624 wmpdxm.dll
11.08.2004 00:45 34.304 WMDMPS.dll
11.08.2004 00:45 175.104 wmpsrcwp.dll
11.08.2004 00:45 1.589.760 wmpencen.dll
11.08.2004 00:45 999.424 wmvdmoe2.dll
11.08.2004 00:45 1.116.160 wmsdmoe2.dll
11.08.2004 00:45 936.960 wmspdmoe.dll
11.08.2004 00:41 5.550.080 wmp.dll
11.08.2004 00:41 1.027.072 wmnetmgr.dll
11.08.2004 00:41 229.376 wmasf.dll
10.08.2004 22:07 150.016 wmidx.dll
10.08.2004 22:07 6.656 laprxy.dll
10.08.2004 22:05 38.912 wpd_ci.dll
10.08.2004 22:05 327.680 wpdsp.dll
10.08.2004 22:05 331.776 wpdmtpdr.dll
10.08.2004 22:05 114.176 wpdmtp.dll
10.08.2004 22:05 66.560 wpdmtpus.dll
10.08.2004 22:05 61.952 wpdconns.dll
10.08.2004 22:05 10.752 wpdtrace.dll
10.08.2004 22:05 47.104 uwdf.exe
10.08.2004 22:05 38.912 wdfmgr.exe
10.08.2004 22:05 15.872 wdfapi.dll
10.08.2004 21:52 360.448 l3codecp.acm
10.08.2004 21:52 20.480 wmp.ocx
10.08.2004 21:52 20.480 wmpcd.dll
10.08.2004 21:52 20.480 wmpcore.dll
10.08.2004 21:52 20.480 wmpui.dll
10.08.2004 21:46 96.768 logagent.exe

systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C1A-3600

Verzeichnis von C:\DOKUME~1\anonym\LOKALE~1\Temp

29.11.2005 22:41 70.759 Silent Runners.zip
29.11.2005 21:49 16.384 ~DF802C.tmp
29.11.2005 21:49 512 ~DF3B4.tmp
29.11.2005 21:49 16.384 ~DF76.tmp
4 Datei(en) 104.039 Bytes
0 Verzeichnis(se), 70.981.238.784 Bytes frei

system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C1A-3600

Verzeichnis von C:\WINDOWS

29.11.2005 21:06 155 winamp.ini
29.11.2005 18:37 0 0.log
29.11.2005 18:37 156 wiadebug.log
29.11.2005 18:37 50 wiaservc.log
29.11.2005 18:37 2.048 bootstat.dat
29.11.2005 18:36 32.574 SchedLgU.Txt
29.11.2005 18:15 583 win.ini
29.11.2005 18:15 227 system.ini
29.11.2005 17:51 2.033 hosts
29.11.2005 17:50 3.031 secure32.html
29.11.2005 17:50 69.632 bxproxy.exe
29.11.2005 17:50 29.184 tool2.exe
29.11.2005 17:50 1.536 kl.exe
29.11.2005 17:50 0 uniq
27.11.2005 18:20 2.108 wmsetup.log
23.11.2005 16:18 116 NeroDigital.ini
23.11.2005 16:18 282.007 DirectX.log
23.11.2005 13:48 417.508 setupapi.log
19.11.2005 20:47 315 wmsetup10.log
19.11.2005 20:42 316.640 WMSysPr9.prx
14.11.2005 15:27 170.949 setupact.log
06.11.2005 17:52 30.438 DIIUnin.dat
06.11.2005 17:42 2.829 DIIUnin.pif
06.11.2005 17:42 102.400 DIIUnin.exe
08.10.2005 10:11 235 SIERRA.INI
29.09.2005 18:59 91.081 War3Unin.dat

111 Datei(en) 10.724.924 Bytes
0 Verzeichnis(se), 70.981.226.496 Bytes frei

sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C1A-3600

Verzeichnis von C:\

29.11.2005 22:45 0 sys.txt
29.11.2005 22:45 5.717 system.txt
29.11.2005 22:45 444 systemtemp.txt
29.11.2005 22:45 92.197 system32.txt
29.11.2005 18:37 402.653.184 pagefile.sys
29.11.2005 18:15 194 boot.ini
16.03.2005 19:53 0 MSDOS.SYS
16.03.2005 19:53 0 AUTOEXEC.BAT
16.03.2005 19:53 0 IO.SYS
16.03.2005 19:53 0 CONFIG.SYS
18.08.2001 15:00 4.952 bootfont.bin
18.08.2001 15:00 45.124 NTDETECT.COM
18.08.2001 15:00 224.032 ntldr
13 Datei(en) 403.025.844 Bytes
0 Verzeichnis(se), 70.981.222.400 Bytes frei


Hoffe mir kann jemand helfen, denn bei meinem PC geht atm ziemlich wenig weil der jetzt irgendwie sau lahm ist.

MfG Starloader.

[Nikita]

Starloader

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\system32\RpcxSs.dll
C:\WINDOWS\system32\bnmsrv.exe
C:\WINDOWS\bxproxy.exe

--------------------------------------------------------------------------------
wenn das erledigt ist, beginnt die Reinigung......

Gehe in die registry
Start-->Ausfuehren--> regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" <---loeschen

KILLBOX
http://virus-protect.net/killbox.html

C:\WINDOWS\hosts
C:\WINDOWS\secure32.html
C:\WINDOWS\desktop.html
C:\WINDOWS\bxproxy.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq

C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\RpcxSs.dll
C:\WINDOWS\system32\bnmsrv.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Code: Alles auswählen

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken.

scanne und poste den scanreport
http://virus-protect.net/cureit.html

?????????????????????????????????????????????
Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"RpcxSs.Dll"