Hallo, fürchte ich hab mir da was eingefangen

03.04.2006, 17:00

Hallo,
hoffe, dass mir hier geholfen werden kann. Glaube, dass mein Rechner nicht ganz sauber ist. Spybot findet jedes Mal ein Problem. Kann es zwar nach dem Neustart beheben, doch bei wiederholten Scan ist es wieder da.

Der Eintrag nenn sich Vcodec und liegt unter C/Windows/system32/ncompat.tlb

Weiß jetzt nicht, was ich da explizit rauswerfen soll. Jedemfalls habe ich zusätzlich im C/Windows/Temp Ordner folgende beiden, Einträge:

"LUB7F5.EXE" mit einem kleinen laufenden Hund als Logo. Konnt mit "Killbox" gelöscht werden. War dann zuerst im Ordner von Killbox. Beim Reboot war es weg. Legte sich aber im Tempordner wieder an und ändert schon mal seinen Namen.

"Perflib_Perfdata_6ec.dat" kann überhaupt nicht gelöscht werden.

Hier mein Logfile von Hijack
Logfile of HijackThis v1.99.1
Scan saved at 17:43:25, on 03.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cusrvc.exe
C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\PROGRA~1\WINPAT~1\WinPatrol.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Tobit InfoCenter\DVREMIND.EXE
C:\Programme\3M\PSN2Lite\Psn2Lite.exe
C:\Programme\Apache Software Foundation\Tomcat 5.0\bin\tomcat5w.exe
C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe
C:\WINDOWS\TEMP\LUB7F5.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Programme\Servant Salamander 2.0\salamand.exe
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
D:\Programme\HijackThis\HijackThis.exe
C:\Programme\Avant Browser\avant.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Monitor Tomcat.lnk = C:\Programme\Apache Software Foundation\Tomcat 5.0\bin\tomcat5w.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: InfoCenter Notifier.LNK = C:\Programme\Tobit InfoCenter\DVREMIND.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\3M\PSN2Lite\Psn2Lite.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: https://*.windowsupdate.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 4476793786
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_06) -
O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} (Java Plug-in 1.4.2_06) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D79BF13-F422-4D98-B95F-14B1BBAD12B5}: NameServer = 193.101.111.20,193.101.111.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0697A4-49F6-4CFA-B79D-54C639F352AA}: NameServer = 195.129.111.49,193.101.111.10
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOracleClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Programme\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Gibt es Hilfe?

Danke

03.04.2006, 18:19

Zitat von didi

Hallo,
hoffe, dass mir hier geholfen werden kann. Glaube, dass mein Rechner nicht ganz sauber ist.

Also Dein Logfile ist soweit sauber, jedenfalls sind keine bösen Einträge vorhanden. Allerdings einige unnötige Einträge die Du löschen könntest.
Ich kenne nicht Deinen Virenscanner, aber laß mal Kaspersky drüberlaufen. Dann wissen wir mehr. Spybot erkennt nämlich keine Viren.

https://www.kaspersky.com/de/virusscanner

Johann

03.04.2006, 19:12

Hallöchen,

schau mal unter folgendem Link nach, dort wird genau das gleiche Problem was du hast beschrieben. Dort gibt es auch ein Tool zum Download um diesen Schädling bzw. dessen Reste wieder los zu werden.

04.04.2006, 09:15

... das war eine Nacht.

@Johann: Danke. Diesen Scan hatte ich gestern schon gemacht. Kam aber nix dabei raus. Hatte nur einen uralten Crack vom Servant Salamander angemekkert, den mein Vorgänger da wohl mal draufkopiert hatte. Da war Spybot schon besser mit dem Vcodec.

@computerdirk: Ich habe diese und andere Hinweise ausgeführt. Den smitrem im abgesicherten Modus laufen lassen, Dann noch mit CleanUp einige aufgeräumt und die potentiellen "restlichen" Virenwirte mit der Killbox entfernt. Zuletzt nich einen IE Helper von Acrobat mit dem Hijacker rausgeworfen.

Scheint jetzt weg zu sein. Aber auch das Windos XP Design. Kann die Darstellung nicht mehr ändern und habe nur noch Windows Klassisch. Auch Beenden und Starten des Design Dienstes klappt nicht.

ANY IDEA??

Danke

04.04.2006, 10:51

... war etwas Suche notwendig, da es zu dem Problem viele Fragen aber wenig Antworten gibt. Kannst ja mal neben hin legen, falls jemand das gleiche Problem hat.

Es fehlt die Datei: luna.msstyles. Die liegt unter:
C:\WINDOWS\Resources\Themes\Luna
Die Datei kann einfach von einem anderen Rechner rüberkopiert werden. Ob Unterschiede bei HOME und PRO existrieren weiß ich nicht, kann ich aber auch nicht glauben.

Dann noch einen Key prüfen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Themes
dort den Eintrag
InstallVisualStyle
suchen und folgenden Eintrag prüfen:
%ResourceDir%\themes\Luna\Luna.msstyles
Ob es hier Unterschiede zwischen HOME und PRO gibt? Evtl. weil in einem Forum ein User den Ordner " \\ThemeManager als Ort des Schlüssels angab.

Dann klappt es wieder

Übrigens. Die Datei, welche sich bei jedem Neustart einen neuen Namen (Zahlencode) gibt und ein laufendes Hundchen als Icon trägt scheint von Trend Office Scan zu sein. Muss ich mal unseren Admin fragen.

Danke noch mal!!!!!!!!!!

Gruß
Didi

04.04.2006, 11:19

..vielen Dank für die Rückmeldung. Gut zu wissen, wenn selbiges Problem mal wieder auftaucht. Ich stand in Deinem Fall auch auf dem " Schlauch"

Johann

Hallo, fürchte ich hab mir da was eingefangen

Hallo, fürchte ich hab mir da was eingefangen

Re: Hallo, fürchte ich hab mir da was eingefangen

Morgen zusammen

... und ich hab's

Ähnliche Themen

virus eingefangen

Habe ich mir was eingefangen?

Trojaner eingefangen!

Antimalware doctor eingefangen

was schlimmes eingefangen!

Benutzer, die dieses Thema gelesen haben: 0