MsgPlus- Problem

[Syndrom]

HI,
Ich habe mir unter w*w[dot]msgplus[dot]net den MessengerPlus runter geladen (für MSN), dannach hab ich mir noch ein PlugIn dort gedownloadet damit man wie bei Paint freihand schreiben kann.
Seitdem öffnet sich sobald der der PC hochgefahren ist&den Desktop geladen hat der IE mit einer Errornachricht, das die MessengerPlus-Handschriftversion nicht ordentlich funktioniert.
Was kann ich tun damit sich der IE nicht ständig öffnet?

Screen:



MfG

[Nikita]

MessengerPlus ist Malware (hat nichts mit MSN zu tun) Du solltest es schleunigst wieder deinstallieren

hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

[Syndrom]

Ok, habe Msg deinstalliert.

Hjack:

Logfile of HijackThis v1.99.1
Scan saved at 16:50:17, on 26.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\WirelessBooster\WBTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\******\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7A06FF57-2676-41FA-AFC6-2F57159B05F2} - C:\WINDOWS\system32\cryptsvd.dll
O2 - BHO: (no name) - {E15C0662-0799-4A6A-0C19-146AC23740AE} - C:\DOKUME~1\*****\ANWEND~1\EQLITE~1\Junk 64.exe (file missing)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Soap Bags Delete Proxy] C:\WINDOWS\Profiles\All Users\Anwendungsdaten\dent noun soap bags\balm jump.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [TweakMASTER] "C:\Programme\WirelessBooster\WBTray.exe"
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\*****\LOKALE~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Bone Knob] C:\DOKUME~1\*****\ANWEND~1\PUREFL~1\TypeDentWeb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {26304162-7D2B-4872-8B83-3C82E38B229B} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {26304162-7D2B-4872-8B83-3C82E38B229B} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v ... b34246.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

============

was istn "Junk 64" ?

===

MfG


EDIT:

Ehm, ich mach seid ca. einem Jahr kein Onlinebanking mehr,aber warum steht bei "O16" eine bankingadresse?Hat das irgendwass zu sagen?

[Nikita]

du hast dir den PC mit diesem Muell mit einem Trojaner verseucht.. Nun musst du saeubern...
http://virus-protect.org/artikel/spyware/lop.html

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {E15C0662-0799-4A6A-0C19-146AC23740AE} - C:\DOKUME~1\*****\ANWEND~1\EQLITE~1\Junk 64.exe (file missing)
O4 - HKLM\..\Run: [Soap Bags Delete Proxy] C:\WINDOWS\Profiles\All Users\Anwendungsdaten\dent noun soap bags\balm jump.exe
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\*****\LOKALE~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [Bone Knob] C:\DOKUME~1\*****\ANWEND~1\PUREFL~1\TypeDentWeb.exe

3.
PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

4.
Loeschen:
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PUREFL... das ist nicht der komplette Name...du musst suchen..

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\EQLITE...
das ist nicht der komplette Name...du musst suchen..

C:\WINDOWS\Profiles\All Users\Anwendungsdaten\dent noun soap bags
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\MsgPlusUninst.bat

-----------------------------------------------------------------------------------------

5.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

-------------------------------------------------------------------------------------------------------

6.
Conterspy
http://virus-protect.org/counterspy.html
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu

7.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/onlinescan.html

8.
was dann noch drauf ist...erkennt der Panda (Onlinescan)
http://virus-protect.org/onlinescan.html

**

[Syndrom]

OK,
also Pureflaw.. und MsgPlus Uninst.. konnte ich finden+löschen, aber EQlite und NounSoap.. konnte ich nicht finden und somit auch nicht löschen.
Habe nach den Dateien unter Start-Suche gesucht,aber nur "ICQlite" und MSsoap gefunden.
Der IE öffnet sich auf jeden fall nichtmehr mit der MsgErrorNachricht.

Ich arbeite jetzt den ersten Link durch, habe Punkt 2-4 perfektioniert.
Da ich jetzt Punkt 1 durcharbeite wird meine Antwort sicherlich stets aktualisiert.
MfG

=====

DatFindBat:

Verzeichnis von C:\WINDOWS\SYSTEM32

25.02.2006 21:28 58.952 MsgPlusLoader.dll
25.02.2006 14:14 17.107 cryptsvd.dll
24.02.2006 20:49 34.308 BASSMOD.dll
24.02.2006 20:44 0 Sweeper.cfg
23.02.2006 22:31 3.176 gafilter.sti
23.02.2006 22:31 4.808 gaeffect.sti
23.02.2006 21:57 237.213 kspydoc.log
22.02.2006 20:01 16.832 amcompat.tlb
22.02.2006 20:01 23.392 nscompat.tlb
22.02.2006 19:43 2.206 wpa.dbl
22.02.2006 19:42 37.760 perfc009.dat
22.02.2006 19:42 705.468 PerfStringBackup.INI
22.02.2006 19:42 309.810 perfh007.dat
22.02.2006 19:42 45.672 perfc007.dat
22.02.2006 19:42 305.318 perfh009.dat
22.02.2006 19:39 300.440 FNTCACHE.DAT
22.02.2006 19:39 3.609 $winnt$.inf
22.02.2006 19:33 2.735 AUTOEXEC.NT
22.02.2006 19:33 3.279 CONFIG.NT
22.02.2006 19:31 314.368 migicons.exe
22.02.2006 19:28 488 WindowsLogon.manifest
22.02.2006 19:28 488 logonui.exe.manifest
22.02.2006 19:28 749 sapi.cpl.manifest
22.02.2006 19:28 749 nwc.cpl.manifest
22.02.2006 19:28 749 ncpa.cpl.manifest
22.02.2006 19:28 749 cdplayer.exe.manifest
22.02.2006 19:28 749 wuaucpl.cpl.manifest
22.02.2006 19:26 21.740 emptyregdb.dat
22.02.2006 19:23 0 h323log.txt
22.02.2006 18:04 292.352 winsrv.dll
22.02.2006 18:03 205.312 dxtrans.dll
22.02.2006 18:02 51.712 cnbjmon.dll
22.02.2006 18:02 35.328 pid.dll
22.02.2006 18:02 131.968 hal.dll
22.02.2006 18:02 2.059.264 ntkrnlpa.exe
22.02.2006 18:02 15.360 pjlmon.dll
22.02.2006 18:02 7.168 hccoin.dll
22.02.2006 18:02 108.032 wshbth.dll
22.02.2006 18:02 381.440 irprops.cpl
22.02.2006 18:02 52.736 wzcsapi.dll
22.02.2006 18:02 474.624 wzcsvc.dll
22.02.2006 18:02 47.616 iyuv_32.dll
22.02.2006 18:02 110.592 bthprops.cpl
22.02.2006 18:02 20.992 hid.dll
22.02.2006 18:02 59.392 dmutil.dll
22.02.2006 18:02 17.408 msyuv.dll
22.02.2006 18:02 193.024 fsquirt.exe
22.02.2006 18:01 108.480 netapi.dll
22.02.2006 18:00 848.384 ir41_32.ax
07.02.2006 21:28 4.513.120 MRT.exe
01.02.2006 20:50 14.336 wowfaxui.dll
01.02.2006 20:50 157.696 paqsp.dll
01.02.2006 20:50 69.632 spnike.dll
01.02.2006 20:50 49.211 usrvpa.dll
01.02.2006 20:50 57.856 dvdplay.exe
01.02.2006 20:50 70.656 sprio600.dll
01.02.2006 20:50 8.192 tsbyuv.dll
01.02.2006 20:50 72.192 sprio800.dll
01.02.2006 20:50 45.116 usrvoica.dll
01.02.2006 20:50 49.209 usrv80a.dll
01.02.2006 20:50 102.457 usrv42a.dll
01.02.2006 20:50 41.019 usrsvpia.dll
01.02.2006 20:50 69.700 usrshuta.exe
01.02.2006 20:50 8.192 streamci.dll
01.02.2006 20:50 49.211 usrsdpia.dll
01.02.2006 20:50 147.968 mdwmdmsp.dll
01.02.2006 20:50 77.883 usrrtosa.dll
01.02.2006 20:50 61.508 usrprbda.exe
01.02.2006 20:50 77.891 usrmlnka.exe
01.02.2006 20:50 53.305 usrlbva.dll
01.02.2006 20:50 86.073 usrfaxa.dll
01.02.2006 20:50 323.641 usrdtea.dll
01.02.2006 20:50 77.890 usrdpa.dll
01.02.2006 20:50 3.200 wowfax.dll
01.02.2006 20:50 69.699 usrcoina.dll
01.02.2006 20:50 61.500 usrcntra.dll
01.02.2006 20:44 219.648 uxtheme.dll
01.02.2006 20:44 142.336 sfc_os.dll
01.02.2006 20:44 998.912 syssetup.dll
01.02.2006 20:44 280.064 gdi32.dll
01.02.2006 20:43 1.094.144 esent.dll
01.02.2006 20:43 80.896 fontsub.dll
01.02.2006 20:43 117.760 t2embed.dll
01.02.2006 20:43 24.064 xpsp3res.dll
01.02.2006 20:43 667.136 wininet.dll
01.02.2006 20:43 607.232 urlmon.dll
01.02.2006 20:43 1.495.040 shdocvw.dll
01.02.2006 20:43 474.624 shlwapi.dll
01.02.2006 20:43 530.944 mstime.dll
01.02.2006 20:43 146.432 msrating.dll
01.02.2006 20:43 39.424 pngfilt.dll
01.02.2006 20:43 448.512 mshtmled.dll
01.02.2006 20:43 3.016.192 mshtml.dll
01.02.2006 20:43 96.768 inseng.dll
01.02.2006 20:43 251.904 iepeers.dll
01.02.2006 20:43 1.056.256 danim.dll
01.02.2006 20:43 55.808 extmgr.dll
01.02.2006 20:43 152.064 cdfview.dll
01.02.2006 20:43 1.022.464 browseui.dll
01.02.2006 20:43 124.416 umpnpmgr.dll
01.02.2006 20:43 197.632 netman.dll
01.02.2006 20:43 1.293.312 quartz.dll
01.02.2006 20:43 55.808 twext.dll
01.02.2006 20:43 11.776 xolehlp.dll
01.02.2006 20:43 101.376 txflog.dll
01.02.2006 20:43 398.336 rpcss.dll
01.02.2006 20:43 37.376 olecnv32.dll
01.02.2006 20:43 74.752 olecli32.dll
01.02.2006 20:43 1.286.144 ole32.dll
01.02.2006 20:43 66.560 mtxclu.dll
01.02.2006 20:43 945.152 msdtctm.dll
01.02.2006 20:43 91.136 mtxoci.dll
01.02.2006 20:43 161.280 msdtcuiu.dll
01.02.2006 20:43 425.472 msdtcprx.dll
01.02.2006 20:43 243.200 es.dll
01.02.2006 20:43 540.160 comuid.dll
01.02.2006 20:43 97.792 comrepl.dll
01.02.2006 20:43 1.267.200 comsvcs.dll
01.02.2006 20:43 110.080 clbcatex.dll
01.02.2006 20:43 60.416 colbact.dll
01.02.2006 20:43 625.152 catsrvut.dll
01.02.2006 20:43 498.688 clbcatq.dll
01.02.2006 20:43 225.792 catsrv.dll
01.02.2006 20:43 254.976 icm32.dll
01.02.2006 20:43 73.728 mscms.dll
01.02.2006 20:43 2.068.480 cdosys.dll
01.02.2006 20:43 679.424 inetcomm.dll
01.02.2006 20:42 8.493.568 shell32.dll
01.02.2006 20:42 19.968 linkinfo.dll
01.02.2006 20:42 65.024 nwwks.dll
01.02.2006 20:42 297.984 kerberos.dll
01.02.2006 20:42 1.839.488 win32k.sys
01.02.2006 20:42 57.856 spoolsv.exe
01.02.2006 20:41 137.216 itss.dll
01.02.2006 20:41 155.136 itircl.dll
01.02.2006 20:41 546.304 hhctrl.ocx
01.02.2006 20:41 41.472 hhsetup.dll
01.02.2006 20:41 249.344 tapisrv.dll
01.02.2006 20:41 76.800 remotesp.tsp
01.02.2006 20:41 1.724.416 netshell.dll
01.02.2006 20:41 382.464 wzcdlg.dll
01.02.2006 20:41 578.560 user32.dll
01.02.2006 20:41 2.181.888 ntoskrnl.exe
01.02.2006 20:41 62.464 authz.dll
01.02.2006 20:41 297.472 MSCTF.dll
01.02.2006 20:41 26.624 verifier.dll
01.02.2006 20:40 96.768 srvsvc.dll
01.02.2006 20:40 68.608 hlink.dll
01.02.2006 20:40 586.240 mlang.dll
01.02.2006 20:40 729.600 lsasrv.dll
01.02.2006 20:40 617.472 comctl32.dll
01.02.2006 20:40 356.352 hypertrm.dll
01.02.2006 20:40 151.552 ifxcardm.dll
01.02.2006 20:40 86.016 pintool.exe
01.02.2006 20:40 96.792 basecsp.dll
01.02.2006 20:40 26.112 bcsprsrc.dll
01.02.2006 20:40 133.120 axaltocm.dll
01.02.2006 20:40 271.360 msihnd.dll
01.02.2006 20:40 78.848 msiexec.exe
01.02.2006 20:40 2.890.240 msi.dll
01.02.2006 20:40 15.360 msisip.dll
01.02.2006 20:40 884.736 msimsg.dll
24.01.2006 19:34 118.784 sirenacm.dll
22.01.2006 11:56 176.167 rmoc3260.dll
22.01.2006 11:56 5.632 pndx5032.dll
22.01.2006 11:56 278.528 pncrt.dll
19.01.2006 17:59 499.712 msvcp71.dll
18.01.2006 15:41 13.085 folder.htt
18.01.2006 15:30 40.960 WSOCK32.#01
18.01.2006 15:30 40.960 WSOCK32.#02
04.01.2006 04:35 68.096 webclnt.dll
06.12.2005 06:02 5.533.696 wmp.dll
16.11.2005 18:33 98.304 qttask.exe
16.11.2005 18:33 360.504 QTPlugin.ocx
15.11.2005 00:34 54.960 VSUTIL~1.DLL

erzeichnis von C:\DOKUME~1\M

[Nikita]

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> hier kopieren
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\cryptsvd.dll
C:\WINDOWS\SYSTEM32\migicons.exe

-------------------------------------------------------------------------------------

loesche:
C:\WINDOWS\SYSTEM32\MsgPlusLoader.dll

--------------------------------------------------------------------------------------

Enabled Scheduled Tasks:

"Erinnerung für den Deinstallationsablauf" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /u /n:1" [MS]
"AC80514A912FC452" -> launches: "c:\dokume~1\müller\anwend~1\purefl~1\pokegreyenc.exe

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Code: Alles auswählen

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
---------------------------------------------------------------------------------------------
1.
Counterspy wird die Malware aus der Registry loeschen.

2.
der scan mit panda wird die Malware erkennen ..mit vollem Namen,dann kannst du es manuell im abgesicherten modus loeschen

[Syndrom]

VirusTotal:

"cryptsvd.dll" file:

Antivirus Version Update Result

AntiVir 6.33.1.50 02.25.2006 ADSPY/Stud.A.1
Avast 4.6.695.0 02.23.2006 Win32:Trojano-3384
AVG 718 02.24.2006 Adware Generic.LRH
Avira 6.33.1.50 02.25.2006 ADSPY/Stud.A.1
BitDefender 7.2 02.26.2006 no virus found
CAT-QuickHeal 8.00 02.25.2006 no virus found
ClamAV devel-20060126 02.26.2006 no virus found
DrWeb 4.33 02.26.2006 Trojan.DownLoader.6588
eTrust-InoculateIT 23.71.87 02.26.2006 no virus found
eTrust-Vet 12.4.2095 02.24.2006 no virus found
Ewido 3.5 02.26.2006 Downloader.Small.cgu
Fortinet 2.71.0.0 02.26.2006 no virus found
F-Prot 3.16c 02.25.2006 no virus found
Ikarus 0.2.59.0 02.24.2006 no virus found
Kaspersky 4.0.2.24 02.26.2006 no virus found
McAfee 4705 02.24.2006 no virus found
NOD32v2 1.1419 02.26.2006 no virus found
Norman 5.70.10 02.24.2006 no virus found
Panda 9.0.0.4 02.26.2006 no virus found
Sophos 4.02.0 02.26.2006 no virus found
Symantec 8.0 02.26.2006 no virus found
TheHacker 5.9.4.102 02.24.2006 Adware/Stud.a
UNA 1.83 02.24.2006 Adware.Stud
VBA32 3.10.5 02.26.2006 suspected of Trojan-Downloader.Agent.51

======================================

"migicons.exe" file: no virus found


Escan: Virus detected:

File C:\WINDOWS\system32\cryptsvd.dll tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken.
Object "HotBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WhenU.SaveNow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WhenU.WeatherCast Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "abxtoolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Win32.Passma Virus" found in File System! Action Taken: No Action Taken.
Object "cws.smartsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\asinst.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\Chess.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\msgrchkr.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\[b]C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx".[/b] Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\NpFv415.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\rufsi.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\Downloaded Program Files\ZIntro.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\SYSTEM\AXFOAM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "Software\Microsoft\Windows\CurrentVersion\ModuleUsage\C:\WINDOWS\SYSTEM\danim.dll". Action Taken: No Action Taken.
Entry "{8D2A2856-D479-42F7-AB70-BDBA8863D60F}". Action Taken: No Action Taken.
File C:\WINDOWS\Profiles\All Users\Anwendungsdaten\dent noun soap bags\balm jump.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
File C:\Programme\NetPumper\ZM\NP_0001_1.exe tagged as "not-a-virus:AdWare.Win32.Lop.ai". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\download\treiber.exe tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\cain_abel_2.8\bonus_tools\creddump_bin.zip tagged as not-a-virus:PSWTool.Win32.CredDump. No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\brutus_aet2\BrutusA2.exe tagged as not-a-virus:PSWTool.Win32.Brutus. No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\creddump.exe tagged as not-a-virus:PSWTool.Win32.CredDump. No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\creddump.dll tagged as not-a-virus:PSWTool.Win32.CredDump. No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\hotmailhack_1.0\HotmailHack.exe infected by "HackTool.Win32.VB.j" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\http_brute_forcer_1.0\mbhttpbf.exe infected by "Trojan.Win32.Pakes" Virus! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\wwwhack\patch.exe infected by "HackTool.Win32.WwwHack.a" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{BBC62236-ACCF-471A-8230-A7929C1497ED}\RP8\A0002174.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.

[Nikita]

?? hier weiss ich nicht, ob es ein Fehlalarm ist:" --> Trojan.Win32.Pakes
C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\http_brute_forcer_1.0\mbhttpbf.exe

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\MsgPlusLoader.dll
C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
C:\Programme\NetPumper\ZM\NP_0001_1.exe
C:\Dokumente und Einstellungen\Müller\Eigene Dateien\download\treiber.exe
C:\WINDOWS\system32\migicons.exe
C:\WINDOWS\system32\cryptsvd.dll
C:\System Volume Information\_restore{BBC62236-ACCF-471A-8230-A7929C1497ED}\RP8\A0002174.exe

PC neustarten

loesche.

C:\Programme\NetPumper
C:\WINDOWS\Profiles\All Users\Anwendungsdaten\dent noun soap bags
C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\hotmailhack_1.0\HotmailHack.exe
C:\Dokumente und Einstellungen\Müller\Eigene Dateien\Bilderausdem Internet\wwwhack\patch.exe

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

[Syndrom]

Editor:

Datentr„ger in Laufwerk C: ist MUELLER
Volumeseriennummer: 273B-12E0

Verzeichnis von C:\WINDOWS\tasks

12.03.2005 11:16 <DIR> .
12.03.2005 11:16 <DIR> ..
27.02.2006 06:30 6 SA.DAT
23.08.2001 14:00 65 desktop.ini
22.02.2006 19:43 258 Erinnerung f

[Nikita]

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Code: Alles auswählen

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AC80514A912FC452.job
del AC80514A912FC452.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

-----------------------------------------------------------------------------------------

dann mache noch einen Onlinescan mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

[Yourhighness]

HI,
Ich habe mir unter w*w[dot]msgplus[dot]net den MessengerPlus runter geladen (für MSN), dannach hab ich mir noch ein PlugIn dort gedownloadet damit man wie bei Paint freihand schreiben kann.

Kleine "Lernstunde." Bitte nie Live-links zu Seiten posten, auf denen man sich infizieren kann. Foren sind publik und es gibt 1000de die diesen Beitrag vll als Gast lesen. Jemand der nicht weiss was er tut, koennte vll drauf klicken und sich auch infizieren. Links dieser Art bitte entweder:

1 ) "h**p://www.msgplus.net"
2 ) "http://w*w.msgplus.net oder"
3 ) "http://www[dot]msgplus[dot]net" bzw. "www[dot]msgplus[dot]net"

mfg aus Frankfurt

[Syndrom]

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

-----------------------------------------------------------------------------------------

dann mache noch einen Onlinescan mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

Kleine Frage- was hat die remjob.bat eigentlich jetzt gerade gemacht?Und kann ich sie jetzt wieder löschen?

zu panda:
bei mir kommt so ein Benutzername + PWort-Fenster, aber meine Daten vom PC-Zugang funzen da nicht. Wenn ich es abbreche kann keine Verbindung zu Panda hergestellt werden.kann ich das irgendwie ausstellen oder so?



================

@Yourhighness: Ok, sorry

MfG

======================

EDIT:

(hier kommt der Text nachdem ich das Anmeldefenster schließe)

An error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try againPossible causes of this error are:

Not allowing the application's ActiveX control to be downloaded.

Problems with the Internet connection.

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,...

[Nikita]

die bat kannst du nach Anwendung loeschen, ich habe sie erstellt um den Tasks , der von der Malware erstellt wurde, zu loeschen.

bei panda... muss man da nicht seine email angeben? Ich weiss nicht genau, aber bekommt man dann ein Passwort per Mail ?
Versuche es mal und berichte. (den Scan muss man mit dem IE machen und im IE muss ActiveX aktiviert sein )

Internetexplorer/Einstellungsempfehlungen/Registerkarte Sicherheit
http://virus-protect.org/ie.html

Falls es nicht klappen sollte, scanne mit:
Trend Micro Anti-Spyware
http://virus-protect.org/onlinescan.html

[Syndrom]

Also ich weiß nicht genau wo das Prob ist,habe ActiveX aktiviert,aber trotzdem kommt dieses Anmeldefenster wieder.
Keine E-mail..bis jetzt zumindestens.

Habe "Trend Micro Housecall 6.5" durchlaufen lassen:

Inerhalb von 5sec. :

Alles in Ordnung?
Ja, es ist alles in Ordnung! HouseCall hat auf Ihrem Rechner keine potenziellen Bedrohungen gefunden - Sie können sicher weiterarbeiten.

Damit das auch so bleibt, geben Sie dem nächsten Angriff erst gar keine Chance! Software von Trend Micro schützt, prüft und säubert Ihren Rechner. Das macht Sie und Ihre Arbeit sicherer.

[Nikita]

Habe "Trend Micro Housecall 6.5" durchlaufen lassen:
Inerhalb von 5sec.

Wow

wende dich dem Bitdefender/Online zu
http://virus-protect.org/onlinescan.html