Brauche dringenst Hilfe (awturrq.dll)

10.11.2007, 02:34
...neu hier

Beiträge: 1
#1 hallo, ich dreh bald durch, alle 5 sek. öffnet nich ein antivir fenster und sagt das ich einen /system32/awturrq.dll TR/Drop.adent.clu virus habe.
ich hab jetzt 4 std. hintermir um das ding zu löschen ohne erfolg. könnt ihr mir helfen? danke ;)

also here again ;) das hauptproblem ist: egal welches programm/mp3/pic/iexplorer/usw. ich öffne, erscheint sofort antivir mit system32/awturrq.dll TR/Drop.adent.clu sowie
In der Datei 'I:\Dokumente und Einstellungen\Lito\Lokale Einstellungen\Temp\bdfxelfp.dll' und haqathoe.exe wurde ein Virus oder unerwünschtes Programm 'TR/Inject.JT' [TR/Inject.JT]
--------------------------------------------------------------------------
ComboFix 07-11-08.1 - Lito 2007-11-10 13:46:40.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.324 [GMT 1:00]
ausgeführt von:: I:\Dokumente und Einstellungen\Lito\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

I:\sys.txt
I:\WINDOWS\cookies.ini
I:\WINDOWS\system32\utstv.bak1
I:\WINDOWS\system32\utstv.bak2
I:\WINDOWS\system32\utstv.ini
I:\WINDOWS\system32\utstv.ini2
I:\WINDOWS\system32\utstv.tmp
I:\WINDOWS\system32\vtstu.dll
.
---- Previous Run -------
.
I:\sys.txt
I:\WINDOWS\cookies.ini
I:\WINDOWS\system32\utstv.bak1
I:\WINDOWS\system32\utstv.bak2
I:\WINDOWS\system32\utstv.ini
I:\WINDOWS\system32\utstv.ini2
I:\WINDOWS\system32\utstv.tmp
I:\WINDOWS\system32\vtstu.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-10-10 bis 2007-11-10 ))))))))))))))))))))))))))))))
.

2007-11-10 13:19 51,200 --a------ I:\WINDOWS\NirCmd.exe
2007-11-10 13:17 85,056 --a------ I:\WINDOWS\system32\ajudfbds.dll
2007-11-10 13:17 81,472 --a------ I:\WINDOWS\system32\ymljjcsv.dll
2007-11-10 09:51 81,472 --a------ I:\WINDOWS\system32\bwsangwa.dll
2007-11-10 06:41 <DIR> d-------- I:\Programme\Lavasoft
2007-11-10 04:12 <DIR> d-------- I:\Programme\Spyware & Adware Removal
2007-11-10 03:38 <DIR> d-------- I:\VundoFix Backups
2007-11-10 02:06 <DIR> d-------- I:\Programme\Trojancheck 6
2007-11-10 01:49 88,128 --a------ I:\WINDOWS\system32\rfanufmo.dll
2007-11-10 01:49 77,888 --a------ I:\WINDOWS\system32\dsupfuks.dll
2007-11-10 01:30 88,128 --------- I:\WINDOWS\system32\xsloxrvi.dll
2007-11-10 01:30 77,888 --a------ I:\WINDOWS\system32\joytoknl.dll
2007-11-10 01:07 77,888 --a------ I:\WINDOWS\system32\siprdpfj.dll
2007-11-10 01:01 <DIR> d-------- I:\Dokumente und Einstellungen\Lito\Anwendungsdaten\Prevx
2007-11-10 00:57 <DIR> d-------- I:\Programme\PREVX
2007-11-10 00:56 <DIR> d-------- I:\WINDOWS\SxsCaPendDel
2007-11-10 00:00 77,888 --a------ I:\WINDOWS\system32\jjcyrxiw.dll
2007-11-09 23:38 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-11-09 23:37 <DIR> d-------- I:\Temp
2007-11-09 21:18 77,888 --a------ I:\WINDOWS\system32\amyyqxwk.dll
2007-11-09 21:12 88,128 --a------ I:\WINDOWS\system32\mhckqfpf.dll
2007-11-09 20:33 88,128 --a------ I:\WINDOWS\system32\hkncorwe.dll
2007-11-09 20:30 77,888 --a------ I:\WINDOWS\system32\nnhuctab.dll
2007-11-09 19:45 88,128 --------- I:\WINDOWS\system32\iyphdfep.dll
2007-11-09 19:45 77,888 --a------ I:\WINDOWS\system32\edrhabmb.dll
2007-11-09 18:09 <DIR> d-------- I:\Dokumente und Einstellungen\Lito\Anwendungsdaten\Ahead
2007-11-09 17:59 <DIR> d-------- I:\Programme\Nero
2007-11-09 17:59 <DIR> d-------- I:\Programme\Gemeinsame Dateien\Ahead
2007-11-09 13:32 77,888 --a------ I:\WINDOWS\system32\qbrudrkm.dll
2007-11-09 13:26 88,128 --a------ I:\WINDOWS\system32\oclnoilm.dll
2007-11-08 23:01 <DIR> d-------- I:\Dokumente und Einstellungen\Lito\Anwendungsdaten\dvdcss
2007-11-08 12:49 80,448 --a------ I:\WINDOWS\system32\xltsutjq.dll
2007-11-06 20:56 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-11-06 20:33 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-06 15:10 98,304 --a------ I:\WINDOWS\system32\E_SAGSET.DLL
2007-11-06 15:10 79,622 --a------ I:\WINDOWS\system32\EBPMON24.DLL
2007-11-06 15:10 64,000 --a------ I:\WINDOWS\system32\ECBTEG.DLL
2007-11-06 15:10 34,304 --a------ I:\WINDOWS\system32\EBPCHP.DLL
2007-11-06 15:10 31,744 --a------ I:\WINDOWS\system32\E_DCINST.DLL
2007-11-06 13:47 <DIR> d-------- I:\WINDOWS\system32\QuickTime
2007-11-06 13:47 <DIR> d-------- I:\Programme\QuickTime
2007-11-06 13:46 <DIR> d-------- I:\Neuer Ordner
2007-11-06 13:35 <DIR> d-------- I:\WINDOWS\LastGood(2)
2007-11-06 10:09 <DIR> d-------- I:\Programme\Gemeinsame Dateien\ACD Systems
2007-11-06 10:09 <DIR> d-------- I:\Programme\ACD Systems
2007-11-06 10:09 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2007-11-06 06:37 <DIR> d-------- I:\Programme\Ultra Remote Control
2007-11-06 06:19 <DIR> d-------- I:\Programme\FlashFXP3(2)
2007-11-06 05:46 <DIR> d-------- I:\Programme\G6 FTP Server
2007-11-06 04:51 <DIR> d-------- I:\Programme\DynDNS Updater
2007-11-06 04:48 184,696 --a------ I:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2007-11-05 17:49 <DIR> d-------- I:\Programme\EPSON
2007-11-05 17:49 182 --a------ I:\WINDOWS\system32\EBPPORT4.DAT
2007-11-05 13:26 <DIR> d-------- I:\Programme\SC262
2007-11-05 12:27 <DIR> d-------- I:\srtFtpLogs
2007-11-05 12:25 <DIR> d-------- I:\Programme\Titan FTP Server(2)
2007-11-05 12:25 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\South River Technologies
2007-11-05 07:53 <DIR> d-------- I:\Dokumente und Einstellungen\Lito\Anwendungsdaten\Apple Computer
2007-11-05 07:43 <DIR> d-------- I:\Programme\QuickTime(2)
2007-11-05 07:38 <DIR> d-------- I:\Programme\Apple Software Update
2007-11-05 00:16 <DIR> d-------- I:\Dokumente und Einstellungen\Lito\Anwendungsdaten\Azureus
2007-11-05 00:16 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2007-11-05 00:15 <DIR> d-------- I:\Programme\Azureus
2007-11-05 00:08 <DIR> d-------- I:\Dokumente und Einstellungen\Lito\Anwendungsdaten\{27ABEAD9-B7C4-4994-891F-48F5F48861FA}
2007-11-04 22:24 <DIR> d-------- I:\Programme\TuneUp Utilities 2004
2007-11-04 22:11 <DIR> d-------- I:\WINDOWS\ShellNew
2007-10-26 22:55 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2007-10-26 22:54 <DIR> d-------- I:\Programme\Trillian
2007-10-26 19:19 <DIR> d-------- I:\Dokumente und Einstellungen\Lito\Anwendungsdaten\ImgBurn
2007-10-25 14:30 <DIR> d--h----- I:\WINDOWS\system32\GroupPolicy
2007-10-24 10:36 <DIR> d-------- I:\NDS
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-06 12:44 --------- d--h--w I:\Programme\InstallShield Installation Information
2007-11-05 13:02 --------- d-----w I:\Programme\Gemeinsame Dateien\Adobe
2007-11-04 21:24 --------- d-----w I:\Programme\Gemeinsame Dateien\Wise Installation Wizard
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{634BBAB7-3F60-4426-944F-A62B9007F67F}]
I:\WINDOWS\system32\awturrq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9cf0d9b4-a101-4659-abad-2df991433744}]
2007-11-10 13:17 81472 --a------ I:\WINDOWS\system32\ymljjcsv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PrevxHome"="I:\Programme\PREVX\Prevx Home\SAGUI.exe" [2004-11-24 14:28]
"4ceaf296"="I:\WINDOWS\system32\ajudfbds.dll" [2007-11-10 13:17]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RoboForm"="I:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2007-04-13 21:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{634BBAB7-3F60-4426-944F-A62B9007F67F}"= I:\WINDOWS\system32\awturrq.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awturrq]
awturrq.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DynDNS Updater"="I:\Programme\DynDNS Updater\DynDNS.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="I:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"Device Detector"=DevDetect.exe -autorun
"QuickTime Task"="I:\Programme\QuickTime\QTTask.exe" -atboottime
"Titan FTP Server Tray App"="I:\Programme\Titan FTP Server\srxTray.exe"
"NWEReboot"=
"EPSON Stylus C46 Series"=I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
"avgnt"="I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

R2 UxTuneUp;TuneUp Design Expansion;I:\WINDOWS\System32\svchost.exe -k netsvcs
R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;I:\WINDOWS\system32\drivers\HCWBT8XX.sys
S0 nvebsspa;nvebsspa;I:\WINDOWS\system32\drivers\gemtwfjk.sys
S3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;I:\WINDOWS\system32\DRIVERS\AN983.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
"2007-05-31 23:38:14 I:\WINDOWS\Tasks\1-Click Maintenance.job"
- I:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-11-04 21:25:21 I:\WINDOWS\Tasks\1-Klick-Wartung.job"
- I:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-10 13:51:46
Windows 5.1.2600 Service Pack 2 NTFS

versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-10 13:53:30 - machine was rebooted
.

Logfile of HijackThis v2.0.2 - Scan saved at 13:43, on 2007-11-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Dokumente und Einstellungen\Lito\Desktop\SPY\HijackThis.exe
I:\Dokumente und Einstellungen\Lito\Desktop\Neuer Ordner (2)\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {634BBAB7-3F60-4426-944F-A62B9007F67F} - I:\WINDOWS\system32\awturrq.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - I:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: {44733419-9fd2-daba-9564-101a4b9d0fc9} - {9cf0d9b4-a101-4659-abad-2df991433744} - I:\WINDOWS\system32\ymljjcsv.dll
O2 - BHO: (no name) - {A43CBF2E-DBD3-46BC-B381-3C7BECF34E2D} - I:\WINDOWS\system32\vtstu.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - I:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [PrevxHome] I:\Programme\PREVX\Prevx Home\SAGUI.exe
O4 - HKLM\..\Run: [4ceaf296] rundll32.exe "I:\WINDOWS\system32\ajudfbds.dll",b
O4 - HKCU\..\Run: [RoboForm] "I:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://I:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: awturrq - awturrq.dll (file missing)
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - cmd.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Prevx Agent (PrevxAgent) - Prevx Ltd. - I:\Programme\PREVX\Prevx Home\PXAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
--
End of file - 5469 bytes

Datenträger in Laufwerk I: ist (I) XP Volumeseriennummer: 5C4C-EB93
Verzeichnis von I:\WINDOWS\system32

10.11.2007 13:53 584.596 sdbfduja.ini
10.11.2007 13:17 81.472 ymljjcsv.dll
10.11.2007 13:17 85.056 ajudfbds.dll
10.11.2007 13:15 584.476 mbggdtcb.ini
10.11.2007 09:51 81.472 bwsangwa.dll
10.11.2007 06:30 584.872 omfunafr.ini
10.11.2007 01:49 88.128 rfanufmo.dll
10.11.2007 01:49 77.888 dsupfuks.dll
10.11.2007 01:47 584.716 ivrxolsx.ini
10.11.2007 01:30 77.888 joytoknl.dll
10.11.2007 01:30 88.128 xsloxrvi.dll
10.11.2007 01:27 584.596 obpdgrtk.ini
10.11.2007 01:07 77.888 siprdpfj.dll
10.11.2007 01:01 584.476 nohycmuc.ini
10.11.2007 00:00 77.888 jjcyrxiw.dll
09.11.2007 21:18 77.888 amyyqxwk.dll
09.11.2007 21:13 584.416 fpfqkchm.ini
09.11.2007 21:12 88.128 mhckqfpf.dll
09.11.2007 21:05 584.768 ewrocnkh.ini
09.11.2007 20:33 88.128 hkncorwe.dll
09.11.2007 20:30 77.888 nnhuctab.dll
09.11.2007 20:25 584.596 pefdhpyi.ini
09.11.2007 19:45 77.888 edrhabmb.dll
09.11.2007 19:45 88.128 iyphdfep.dll
09.11.2007 19:39 354 tkesdfua.ini
09.11.2007 18:23 580.719 mlionlco.ini
09.11.2007 13:32 77.888 qbrudrkm.dll
09.11.2007 13:26 88.128 oclnoilm.dll
09.11.2007 13:22 583.153 wtntewak.ini
09.11.2007 13:20 2.206 wpa.dbl
08.11.2007 12:49 80.448 xltsutjq.dll
08.11.2007 12:45 569.508 vvuljhwa.ini
06.11.2007 13:04 107.808 FNTCACHE.DAT
06.11.2007 04:48 184.696 GDIPFONTCACHEV1.DAT
04.11.2007 21:50 58.596 perfc009.dat
04.11.2007 21:50 405.118 perfh007.dat
04.11.2007 21:50 392.296 perfh009.dat
04.11.2007 21:50 70.580 perfc007.dat
04.11.2007 21:50 938.224 PerfStringBackup.INI
19.10.2007 20:16 49.152 QuickTime.qts
19.10.2007 20:16 65.536 QuickTimeVR.qtx
28.07.2007 01:25 34.308 BASSMOD.dll
25.07.2007 09:19 0 h323log.txt
22.07.2007 18:39 279.552 swreg.exe
.
Datenträger in Laufwerk I: ist (I) XP Volumeseriennummer: 5C4C-EB93
Verzeichnis von I:\DOKUME~1\Lito\LOKALE~1\Temp

10.11.2007 13:58 95.345 datfind.txt
1 Datei(en) 95.345 Bytes
0 Verzeichnis(se), 24.373.633.024 Bytes frei
.
Datenträger in Laufwerk I: ist (I) XP Volumeseriennummer: 5C4C-EB93
Verzeichnis von I:\WINDOWS

10.11.2007 13:57 104.289 WindowsUpdate.log
10.11.2007 13:51 0 0.log
10.11.2007 13:50 2.048 bootstat.dat
10.11.2007 13:48 9.788 SchedLgU.Txt
10.11.2007 05:00 69 NeroDigital.ini
10.11.2007 04:56 871.846 setupapi.log
10.11.2007 01:44 1.112 tefhobrj.txt
09.11.2007 19:33 125.256 ntbtlog.txt
09.11.2007 17:58 39.531 wmsetup.log
09.11.2007 17:58 316.640 WMSysPr9.prx
06.11.2007 21:05 1.409 QTFont.for
06.11.2007 21:05 54.156 QTFont.qfn
06.11.2007 15:11 880.404 EPSTPLOG.TXT
06.11.2007 15:06 62 EPSMTL32.TXT
06.11.2007 13:39 765.477 EPSTPLOG.BAK
06.11.2007 13:00 50 wiaservc.log
06.11.2007 13:00 216 wiadebug.log
04.11.2007 22:17 400 ODBC.INI
29.10.2007 18:56 136.192 catchme.exe
17.06.2007 00:11 51.200 NirCmd.exe
31.05.2007 23:51 214.503 setupact.log
14.04.2007 10:09 82 mafosav.INI
13.04.2007 17:07 12 dirsaver.ini
13.04.2007 17:05 4.525.223 Screensaver_Spongebob.scr
.
Datenträger in Laufwerk I: ist (I) XP Volumeseriennummer: 5C4C-EB93
Verzeichnis von I:\WINDOWS\temp
Datenträger in Laufwerk I: ist (I) XP Volumeseriennummer: 5C4C-EB93
Verzeichnis von I:\WINDOWS\Downloaded Program Files

23.03.2007 11:17 1.292 erma.inf
05.12.2006 23:01 65 desktop.ini
Dieser Beitrag wurde am 10.11.2007 um 15:47 Uhr von lito editiert.
Seitenanfang Seitenende
10.11.2007, 08:55
Member
Avatar Yourhighness

Beiträge: 279
#2 Arbeite das hier ab: http://board.protecus.de/t23188.htm

Dann wird Dir jemand weiterhelfen...
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
11.11.2007, 09:09
Member
Avatar Yourhighness

Beiträge: 279
#3 Hi.

Du musst schon auf deinen Beitrag antworten, wenn Du editierst. Sonst bekomme ich keine Emailbenachrichtigung und ich kann Dir nicht weiterhelfen...

NB: Es ist wichtig das die folgende Reihenfolge eingehalten wird!

Schritt #1

Bitte gehe zu folgender Webseite: UploadMalware um u.g. Dateien zur Analyse hochzuladen.

[1]Gib deinen Nick von diesem Forum ein lito
[2]kopiere und fuege folgenden Link ein: http://board.protecus.de/t31687.htm?replyto=283611&pagenum=1#283611
[3]Suche die folgenden Dateien:

I:\WINDOWS\system32\ajudfbds.dll
I:\WINDOWS\system32\ymljjcsv.dll
I:\WINDOWS\system32\bwsangwa.dll
I:\WINDOWS\system32\rfanufmo.dll
I:\WINDOWS\system32\dsupfuks.dll
I:\WINDOWS\system32\xsloxrvi.dll

[4]Im comments (Kommentarfeld), gebe bitte meinen Nick an und das ich dich gebeten habe die Dateien hochzuladen: Yourhighness
[4.1]Gib bitte auch noch an das es Vundo/Conhook ist
[5]Klicke auf Send File

Wiederhole dies, bis Du alle nachfolgenden Dateien in 6er Gruppen hochgeladen hast:
I:\WINDOWS\system32\joytoknl.dll
I:\WINDOWS\system32\siprdpfj.dll
I:\WINDOWS\system32\jjcyrxiw.dll
I:\WINDOWS\system32\amyyqxwk.dll
I:\WINDOWS\system32\mhckqfpf.dll
I:\WINDOWS\system32\hkncorwe.dll
I:\WINDOWS\system32\nnhuctab.dll
I:\WINDOWS\system32\iyphdfep.dll
I:\WINDOWS\system32\edrhabmb.dll
I:\WINDOWS\system32\qbrudrkm.dll
I:\WINDOWS\system32\oclnoilm.dll
I:\WINDOWS\system32\xltsutjq.dll
I:\WINDOWS\system32\sdbfduja.ini
I:\WINDOWS\system32\ymljjcsv.dll
I:\WINDOWS\system32\ajudfbds.dll
I:\WINDOWS\system32\mbggdtcb.ini
I:\WINDOWS\system32\bwsangwa.dll
I:\WINDOWS\system32\omfunafr.ini
I:\WINDOWS\system32\rfanufmo.dll
I:\WINDOWS\system32\dsupfuks.dll
I:\WINDOWS\system32\ivrxolsx.ini
I:\WINDOWS\system32\joytoknl.dll
I:\WINDOWS\system32\xsloxrvi.dll
I:\WINDOWS\system32\obpdgrtk.ini
I:\WINDOWS\system32\siprdpfj.dll
I:\WINDOWS\system32\nohycmuc.ini
I:\WINDOWS\system32\jjcyrxiw.dll
I:\WINDOWS\system32\amyyqxwk.dll
I:\WINDOWS\system32\fpfqkchm.ini
I:\WINDOWS\system32\mhckqfpf.dll
I:\WINDOWS\system32\ewrocnkh.ini
I:\WINDOWS\system32\hkncorwe.dll
I:\WINDOWS\system32\nnhuctab.dll
I:\WINDOWS\system32\pefdhpyi.ini
I:\WINDOWS\system32\edrhabmb.dll
I:\WINDOWS\system32\iyphdfep.dll
I:\WINDOWS\system32\tkesdfua.ini
I:\WINDOWS\system32\mlionlco.ini
I:\WINDOWS\system32\qbrudrkm.dll
I:\WINDOWS\system32\oclnoilm.dll
I:\WINDOWS\system32\wtntewak.ini
I:\WINDOWS\system32\xltsutjq.dll
I:\WINDOWS\system32\vvuljhwa.ini
I:\WINDOWS\system32\tefhobrj.txt

Schritt #2


[1]Oeffne notepad und kopiere alles aus der Code-box hinein:

Code

http://board.protecus.de/t31687.htm?replyto=283611&pagenum=1#283611

Collect::
I:\WINDOWS\system32\drivers\gemtwfjk.sys
I:\WINDOWS\system32\ajudfbds.dll
I:\WINDOWS\system32\ymljjcsv.dll
I:\WINDOWS\system32\bwsangwa.dll
I:\WINDOWS\system32\rfanufmo.dll
I:\WINDOWS\system32\dsupfuks.dll
I:\WINDOWS\system32\xsloxrvi.dll
I:\WINDOWS\system32\joytoknl.dll
I:\WINDOWS\system32\siprdpfj.dll
I:\WINDOWS\system32\jjcyrxiw.dll
I:\WINDOWS\system32\amyyqxwk.dll
I:\WINDOWS\system32\mhckqfpf.dll
I:\WINDOWS\system32\hkncorwe.dll
I:\WINDOWS\system32\nnhuctab.dll
I:\WINDOWS\system32\iyphdfep.dll
I:\WINDOWS\system32\edrhabmb.dll
I:\WINDOWS\system32\qbrudrkm.dll
I:\WINDOWS\system32\oclnoilm.dll
I:\WINDOWS\system32\xltsutjq.dll
I:\WINDOWS\system32\sdbfduja.ini
I:\WINDOWS\system32\ymljjcsv.dll
I:\WINDOWS\system32\ajudfbds.dll
I:\WINDOWS\system32\mbggdtcb.ini
I:\WINDOWS\system32\bwsangwa.dll
I:\WINDOWS\system32\omfunafr.ini
I:\WINDOWS\system32\rfanufmo.dll
I:\WINDOWS\system32\dsupfuks.dll
I:\WINDOWS\system32\ivrxolsx.ini
I:\WINDOWS\system32\joytoknl.dll
I:\WINDOWS\system32\xsloxrvi.dll
I:\WINDOWS\system32\obpdgrtk.ini
I:\WINDOWS\system32\siprdpfj.dll
I:\WINDOWS\system32\nohycmuc.ini
I:\WINDOWS\system32\jjcyrxiw.dll
I:\WINDOWS\system32\amyyqxwk.dll
I:\WINDOWS\system32\fpfqkchm.ini
I:\WINDOWS\system32\mhckqfpf.dll
I:\WINDOWS\system32\ewrocnkh.ini
I:\WINDOWS\system32\hkncorwe.dll
I:\WINDOWS\system32\nnhuctab.dll
I:\WINDOWS\system32\pefdhpyi.ini
I:\WINDOWS\system32\edrhabmb.dll
I:\WINDOWS\system32\iyphdfep.dll
I:\WINDOWS\system32\tkesdfua.ini
I:\WINDOWS\system32\mlionlco.ini
I:\WINDOWS\system32\qbrudrkm.dll
I:\WINDOWS\system32\oclnoilm.dll
I:\WINDOWS\system32\wtntewak.ini
I:\WINDOWS\system32\xltsutjq.dll
I:\WINDOWS\system32\vvuljhwa.ini
I:\WINDOWS\system32\tefhobrj.txt
I:\WINDOWS\system32\Screensaver_Spongebob.scr

DirLook::
I:\Programme\SC262

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{634BBAB7-3F60-4426-944F-A62B9007F67F}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9cf0d9b4-a101-4659-abad-2df991433744}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"4ceaf296"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{634BBAB7-3F60-4426-944F-A62B9007F67F}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awturrq]

Driver::
nvebsspa
[2]Speichere dies als CFScript.txt



[3]In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
[4]Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte fuege es hier als Antwort ein.
NB: Bewege nicht die Maus ueber das ComboFix fenster oder klicke in dieses hinein. Dies kann dazu fuehren, dass ComboFix sich aufhaengt.

Wenn ComboFix fertig ist, wird eine Message Box erscheinen. Klicke OK und folge den Aufforderungen / Anweisungen um die Dateien hoch zu laden.

Schritt #3

Bitte fuege das Log von ComboFix und ein neues HijackThis log deiner naechsten Antwort bei.

Danke.

-edit- Beitrag editiert, da keine meiner "Standartformatierungen" hier genutzt werden koennen ;)
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 11.11.2007 um 09:21 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: