W32/Nsag.B + WinHound

#1 Hier der HijackThis-Kram

Logfile of HijackThis v1.99.1
Scan saved at 22:47:09, on 09.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
F:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe
F:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\VIA\RAID\raid_tool.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Programme\mIRC\mirc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
F:\Programme\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbtbq.dll/sp.html#53142%resultposition.net

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [A0.tmp] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [A0.tmp.exe] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Steam] "g:\games\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)

#2 Chr1s

obwohl ich nicht gerne Systeme reinige, welche noch nie ein WindowsUpdate gesehen haben......

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hm... irgendwie falsch oder?? naja hier nochmal:

1.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CCF-DEA0

Verzeichnis von C:\WINDOWS\system32

08.01.2006 13:09 23.904 stub25.ini
08.01.2006 13:09 23.580 stub24.ini
08.01.2006 13:09 24.085 stub23.ini
08.01.2006 13:08 23.060 stub22.ini
08.01.2006 13:06 23.219 stub21.ini
08.01.2006 13:06 23.685 stub20.ini
08.01.2006 13:06 22.835 stub19.ini
08.01.2006 13:06 22.118 stub18.ini
08.01.2006 13:06 23.395 stub17.ini
08.01.2006 13:04 23.622 stub16.ini
08.01.2006 13:03 23.264 stub15.ini
08.01.2006 13:02 23.847 stub14.ini
08.01.2006 13:02 23.745 stub13.ini
08.01.2006 13:01 23.567 stub12.ini
08.01.2006 13:00 23.501 stub11.ini
08.01.2006 13:00 23.416 stub10.ini
08.01.2006 12:59 23.496 stub9.ini
08.01.2006 12:57 23.318 stub8.ini
08.01.2006 12:56 23.344 stub7.ini
08.01.2006 12:56 23.619 stub6.ini
08.01.2006 12:52 23.500 stub5.ini
08.01.2006 12:45 23.246 stub4.ini
08.01.2006 12:43 23.166 stub3.ini
08.01.2006 12:41 22.711 stub2.ini
08.01.2006 12:41 22.854 stub1.ini
06.01.2006 09:52 1.199 logs1.ini
04.01.2006 18:38 2.184 wpa.dbl
25.12.2005 11:19 7.006 jupdate-1.5.0_06-b05.log
22.12.2005 20:43 39.992 perfc009.dat
22.12.2005 20:43 316.594 perfh007.dat
22.12.2005 20:43 48.156 perfc007.dat
22.12.2005 20:43 311.604 perfh009.dat
22.12.2005 20:43 723.744 PerfStringBackup.INI
13.12.2005 02:49 0 logs2.ini
11.12.2005 20:05 11.895 atlrw.exe
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
25.10.2005 12:28 4.720 ide21201.vxd
23.10.2005 22:40 25.065 wmpscheme.xml
23.10.2005 22:39 16.832 amcompat.tlb
23.10.2005 22:39 23.392 nscompat.tlb
19.10.2005 20:37 278.528 pncrt.dll
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
17.10.2005 17:45 91.888 FNTCACHE.DAT
28.09.2005 22:29 688.128 divx_xx07.dll
28.09.2005 22:29 688.128 divx_xx0c.dll
28.09.2005 22:29 671.744 divx_xx11.dll
08.09.2005 15:49 86.016 dpl100.dll
08.09.2005 15:49 589.824 dpuGUI11.dll
08.09.2005 15:49 200.704 dtu100.dll
08.09.2005 15:49 315.392 dpus11.dll
08.09.2005 15:49 57.344 dpv11.dll
08.09.2005 15:49 253.952 dpu11.dll
25.08.2005 12:20 3.799 jupdate-1.5.0_04-b05.log
09.08.2005 23:13 4.276 divxsm.tlb
09.08.2005 23:13 524.288 DivXsm.exe
09.08.2005 23:13 10.775 dsm_ja.qm
09.08.2005 23:13 15.351 dsm_de.qm
09.08.2005 23:13 15.153 dsm_fr.qm
09.08.2005 23:13 831.488 libeay32.dll
09.08.2005 23:13 245.408 unicows.dll
09.08.2005 23:13 159.744 ssleay32.dll
09.08.2005 23:12 3.596.288 qt-dx331.dll
09.08.2005 23:12 8.523 dpude.qm
09.08.2005 23:12 3.136 dtu_de.qm
09.08.2005 23:12 356.436 DivXMedia.ax
31.05.2005 10:20 79.432 GEARAspi.dll
04.04.2005 12:52 180.224 xvidvfw.dll
04.04.2005 12:35 745.472 xvidcore.dll
24.03.2005 20:34 3.069 jupdate-1.5.0_02-b09.log
17.03.2005 15:39 34.064 lhacm.acm
16.03.2005 23:39 44 msssc.dll
16.03.2005 23:18 618 $winnt$.inf
16.03.2005 23:16 2.951 CONFIG.NT
16.03.2005 23:15 488 logonui.exe.manifest
16.03.2005 23:15 488 WindowsLogon.manifest
16.03.2005 23:15 749 ncpa.cpl.manifest
16.03.2005 23:15 749 sapi.cpl.manifest
16.03.2005 23:15 749 wuaucpl.cpl.manifest
16.03.2005 23:15 749 cdplayer.exe.manifest
16.03.2005 23:15 749 nwc.cpl.manifest

#4 wer lesen kann ist klar im Vorteil ...wird auf meiner Seite nicht von 3 Monaten (maximal ) gesprochen...die Daten sind per Datum geordnet....

poste also noch die fehlenden 3 Logs
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CCF-DEA0

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

10.01.2006 18:47 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20148.html
10.01.2006 18:45 16.992 iexmlrnd.dat
10.01.2006 18:45 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}27749.html
10.01.2006 18:45 16.384 ~DF174C.tmp
10.01.2006 18:45 16.384 ~DFF1F.tmp
10.01.2006 18:45 512 ~DFF2B.tmp
10.01.2006 13:23 206 jusched.log
7 Datei(en) 52.439 Bytes
0 Verzeichnis(se), 4.508.684.288 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CCF-DEA0

Verzeichnis von C:\WINDOWS

10.01.2006 18:45 370.323 WindowsUpdate.log
10.01.2006 18:45 0 0.log
10.01.2006 18:44 2.048 bootstat.dat
10.01.2006 13:48 32.562 SchedLgU.Txt
09.01.2006 20:44 95 winamp.ini
08.01.2006 21:41 12.271 iewz32.exe
07.01.2006 03:33 707 _default.pif
28.12.2005 22:16 13.581 kgkfm.dat
28.12.2005 04:58 197.761 vinqj.dat
27.12.2005 04:24 11.895 d3tb32.exe
22.12.2005 19:25 139 msicpl.ini
16.12.2005 08:38 26.680 F„cher.bmp
02.12.2005 00:36 133.120 vgraph.dll
23.10.2005 22:42 316.640 WMSysPr9.prx
23.10.2005 22:40 724 win.ini
17.10.2005 17:50 137 uno.ini
17.10.2005 12:50 51.712 wc98pp.dll
04.06.2005 21:55 737.280 iun6002.exe
14.04.2005 22:18 1.136.928 Klejbors_Screen_Saver.scr
16.03.2005 23:37 3.823 Ascd_tmp.ini
16.03.2005 23:19 8.192 REGLOCS.OLD
16.03.2005 23:16 0 control.ini
16.03.2005 23:16 299.552 WMSysPrx.prx
16.03.2005 23:16 4.161 ODBCINST.INI
16.03.2005 23:15 749 WindowsShell.Manifest
16.03.2005 23:12 36 vb.ini
16.03.2005 23:12 37 vbaddin.ini
16.03.2005 23:07 231 system.ini
15.03.2004 19:28 69.120 daemon.dll
17.12.2003 09:50 19.968 LOGI_MWX.EXE
12.05.2003 16:55 978.944 SynthCoreA.Dll
21.09.2002 19:13 10.752 hh.exe
30.08.2002 13:59 380.928 SynCor.exe
18.08.2001 13:00 82.944 clock.avi
18.08.2001 13:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 13:00 65.978 Seifenblase.bmp
18.08.2001 13:00 17.362 Rhododendron.bmp
18.08.2001 13:00 141.312 regedit.exe
18.08.2001 13:00 65.954 Pr„riewind.bmp
18.08.2001 13:00 15.872 TASKMAN.EXE
18.08.2001 13:00 94.800 twain.dll
18.08.2001 13:00 46.592 twain_32.dll
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 25.600 twunk_32.exe
18.08.2001 13:00 9.522 Zapotek.bmp
18.08.2001 13:00 2 desktop.ini
18.08.2001 13:00 67.072 NOTEPAD.EXE
18.08.2001 13:00 1.405 msdfmap.ini
18.08.2001 13:00 17.062 Kaffeetasse.bmp
18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 13:00 18.944 vmmreg32.dll
18.08.2001 13:00 1.004.032 explorer.exe
18.08.2001 13:00 34.818 wmprfDEU.prx
18.08.2001 13:00 26.582 Granit.bmp
18.08.2001 13:00 16.730 Feder.bmp
18.08.2001 13:00 80 explorer.scf
18.08.2001 13:00 17.336 Angler.bmp
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 271.872 winhlp32.exe
18.08.2001 13:00 48.680 winnt.bmp
18.08.2001 13:00 48.680 winnt256.bmp
14.02.2001 22:00 109.568 vos364mi.dll
14.02.2001 22:00 287.744 uno364mi.dll
14.02.2001 22:00 91.648 osl364mi.dll
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 14:45 306.688 IsUninst.exe
66 Datei(en) 8.459.031 Bytes
0 Verzeichnis(se), 4.508.684.288 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CCF-DEA0

Verzeichnis von C:\

10.01.2006 18:50 0 sys.txt
10.01.2006 18:50 3.495 system.txt
10.01.2006 18:50 686 systemtemp.txt
10.01.2006 18:50 98.311 system32.txt
10.01.2006 18:44 1.610.612.736 pagefile.sys
02.05.2005 12:19 0 itouch_crash_info.txt
16.03.2005 23:10 194 boot.ini
10.09.2004 21:15 0 AUTOEXEC.BAT
10.09.2004 21:15 0 MSDOS.SYS
10.09.2004 21:15 0 IO.SYS
10.09.2004 21:15 0 CONFIG.SYS
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 45.124 NTDETECT.COM
18.08.2001 13:00 224.032 ntldr
14 Datei(en) 1.610.989.530 Bytes
0 Verzeichnis(se), 4.508.684.288 Bytes frei

Hm.. bis 2001 zurück... sehr lustig. naja hat mir datFind so ausgespuckt.
Hatte eben schon alle 4 logs kopiert, ka warum nur der erste gepostet wurde!
Das Rotmarkierte löschen?? Wenn ja, wie??

MFG

#6 Chr1s

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\wc98pp.dll

----------------------------------------------------------------------------

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

WinHound

Press 'OK'

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbtbq.dll/sp.html#53142%resultposition.net

R3 - Default URLSearchHook is missing
O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll
O4 - HKLM\..\Run: [A0.tmp] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [A0.tmp.exe] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\stub25.ini
C:\WINDOWS\system32\stub24.ini
C:\WINDOWS\system32\stub23.ini
C:\WINDOWS\system32\stub22.ini
C:\WINDOWS\system32\stub21.ini
C:\WINDOWS\system32\stub20.ini
C:\WINDOWS\system32\stub19.ini
C:\WINDOWS\system32\stub18.ini
C:\WINDOWS\system32\stub17.ini
C:\WINDOWS\system32\stub16.ini
C:\WINDOWS\system32\stub15.ini
C:\WINDOWS\system32\stub14.ini
C:\WINDOWS\system32\stub13.ini
C:\WINDOWS\system32\stub12.ini
C:\WINDOWS\system32\stub11.ini
C:\WINDOWS\system32\stub10.ini
C:\WINDOWS\system32\stub9.ini
C:\WINDOWS\system32\stub8.ini
C:\WINDOWS\system32\stub7.ini
C:\WINDOWS\system32\stub6.ini
C:\WINDOWS\system32\stub5.ini
C:\WINDOWS\system32\stub4.ini
C:\WINDOWS\system32\stub3.ini
C:\WINDOWS\system32\stub2.ini
C:\WINDOWS\system32\stub1.ini

C:\WINDOWS\system32\logs1.ini

C:\WINDOWS\system32\logs2.ini
C:\WINDOWS\system32\atlrw.exe
C:\WINDOWS\system32\ide21201.vxd
C:\WINDOWS\system32\cbtbq.dll

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\ iexmlrnd.dat
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe

C:\WINDOWS\vgraph.dll
C:\WINDOWS\iewz32.exe
C:\WINDOWS\_default.pif
C:\WINDOWS\kgkfm.dat
C:\WINDOWS\vinqj.dat
C:\WINDOWS\d3tb32.exe
C:\WINDOWS\msicpl.ini
C:\WINDOWS\F„cher.bmp
C:\WINDOWS\iun6002.exe

PC neustarten

deinstallieren (der ist schuld an der verseuchung )...du musst sehr umnebelt gewsen sei, als du das geladen hast ...nun ja...jemand, der nicht weiss, das es SicherheitsUpdates fuer Windows gibt......

C:\Programme\WinHound

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> kopiere hier den Report

ADSSpy--> kopiere hier den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi

Also die Dateien

C:\WINDOWS\system32\cbtbq.dll

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe

die ich mit der Killbox löschen sollte, gibts nicht.



This is a report processed by VirusTotal on 01/11/2006 at 01:07:52 (CET) after scanning the file "wc98pp.dll" file.

Antivirus Version Update Result
AntiVir 6.33.0.77 01.10.2006 no virus found
Avast 4.6.695.0 01.09.2006 no virus found
AVG 718 01.10.2006 no virus found
Avira 6.33.0.77 01.10.2006 no virus found
BitDefender 7.2 01.11.2006 no virus found
CAT-QuickHeal 8.00 01.10.2006 no virus found
ClamAV devel-20051123 01.10.2006 no virus found
DrWeb 4.33 01.10.2006 no virus found
eTrust-Iris 7.1.194.0 01.10.2006 no virus found
eTrust-Vet 12.4.1.0 01.10.2006 no virus found
Ewido 3.5 01.10.2006 no virus found
Fortinet 2.54.0.0 01.10.2006 no virus found
F-Prot 3.16c 01.10.2006 no virus found
Ikarus 0.2.59.0 01.10.2006 no virus found
Kaspersky 4.0.2.24 01.11.2006 no virus found
McAfee 4671 01.10.2006 no virus found
NOD32v2 1.1359 01.10.2006 no virus found
Norman 5.70.10 01.10.2006 no virus found
Panda 9.0.0.4 01.10.2006 no virus found
Sophos 4.01.0 01.11.2006 no virus found
Symantec 8.0 01.11.2006 no virus found
TheHacker 5.9.2.071 01.10.2006 no virus found
UNA 1.83 01.10.2006 no virus found
VBA32 3.10.5 01.10.2006 no virus found



VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com



REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "WinHound" 11.01.2006 01:09:07

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinHound"="C:\\Programme\\WinHound\\WinHound.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"RegistrationUrl"="http://www.winhound.com/register/142.0.2"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
@="C:\\Programme\\WinHound"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"InstallDir"="C:\\Programme\\WinHound"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"DatabaseFile"="C:\\Programme\\WinHound\\sig.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"ResourceDll"="C:\\Programme\\WinHound\\rc.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"QuarantineLocation"="C:\\Programme\\WinHound\\Trash"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound\WinHound]



smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key

WinHound.com key present!



Running WinHound.com fix!



WinHound.com key was successfully removed!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1396 'explorer.exe'
Killing PID 1396 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Wie gehts nun weiter, Virus is ja noch drauf :-(
Lg

#8 http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 So, hier der Scanreport:

Spyware Scan Details
Start Date: 11.01.2006 13:41:41
End Date: 11.01.2006 13:49:32
Total Time: 7 mins 51 secs

Detected spyware

NewDotNet Browser Plug-in more information...
Details: New.Net is an Internet Explorer spyware/hijacker plug-in that adds subdomains of 'new.net' to your name resolution system (Windows’ Host file), resulting in what appear to be extra top-level domains (.shop, and so on) being resolvable.
Status: Deleted

Infected files detected
c:\programme\newdotnet\newdotnet6_38.dll
c:\programme\newdotnet\readme.html
c:\programme\newdotnet\uninstall6_38.exe


Spyware.SearchAssistant Spyware more information...
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\christoph\favoriten\sites about\ab scissor.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\broadband comparison.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\credit counseling.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\credit report.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\crm software.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\debt credit card.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\escorts.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\fha.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\health insurance.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\help desk software.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\insurance home.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\loan for debt consolidation.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\loan for people with bad credit.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\marketing email.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\mortgage insurance.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\mortgage life insurance.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\nevada corporations.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\online betting site.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\online gambling casino.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\online instant loan.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\order phentermine.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\payroll advance.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\personal loans online.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\personal loans with bad credit.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\prescription drugs rx online.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\refinancing my mortgage.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\tahoe vacation rental.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\unsecured bad credit loans.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\videos.url
c:\dokumente und einstellungen\christoph\favoriten\sites about\what is hydrocodone.url


WindUpdates Browser Plug-in more information...
Status: Deleted

Infected files detected
C:\!KillBox\ide21201.vxd


ATDMT.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\christoph\cookies\christoph@atdmt[2].txt



Kann es nicht einfach ein Tool geben womit man den File (Virus) C:\WINDOWS\SYSTEM32\WININET.DLL
vernichten kann! Verzweifel...
Unter DOS geht das auch nciht oder??
MFG

#10 wininet.dll darf man nicht loeschen...wenn du das tust, darfst du formatieren....gibt es denn noch Probs mit der dll ????
und das smitrem-Tool hat diese wininet.dlldll fuer clean befunden
------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinHound"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound\WinHound]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

------------------------------------------------------------------------------

kopiere hier den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe

------------------------------------------------------------------------------

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

------------------------------------------------------------------------

Info: Winhound
http://virus-protect.org/artikel/spyware/winhound.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi. Ja das Problem besteht darin das wenn ich beispielsweise Arbeitsplatz oder I-Net Explorer öffne mein Antivir die Datei mit dem Virus anzeigt.

Bei ADSSpy bekomm ich nichts angezeigt von wegen Scanreport.

Hier der Report von der bat.Datei:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CCF-DEA0

Verzeichnis von C:\WINDOWS\system32

23.08.2004 17:15 590.336 wininet.dll
1 Datei(en) 590.336 Bytes

Verzeichnis von C:\WINDOWS\system32\dllcache

23.08.2004 17:15 590.336 WININET.DLL
1 Datei(en) 590.336 Bytes

Ich glaube sogar das ich den Virus schon länger drauf hab. Glaub das Antivir den erst seit dem letzten Update gefunden hat! Was stellt den der eig. an??
Ist ja ne ziemliche arbeiten mit dem shice Dingen^^

MFG

#12 die wininet.dll ist in Ordnung, was meint denn dein Virenscanner?
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi.
Also wie gesagt, mein Antivir und auch andere Scanner halten die wininet.dll immernoch für den Virus W32/Nsag.B. Quasi bei jedem Icon das ich anklicke, quitscht mein PC und es öffnet sich ein Fenster von Antivir mit der Warnung. Auch beim Starten von Windows hab ich direkt mal 4 Warnungen.
Schon komisch, falls du recht hast und die dll wirklich clean ist. Ich schick dir mal mein Virusreport von Antivir. Hab den Test aber nach dem Fund abgebrochen.


Creation date of the report file: Donnerstag, 12. Januar 2006 18:52

AntiVir®/XP (2000 + NT) PersonalEdition Classic
Build 1114 of 04.11.2005
Mainprogram 6.32.00.51 of 03.11.2005
VDF file 6.33.0.104 (-1) of 09.01.2006


This program is for PERSONAL USE only.
Any other use is PROHIBITED.
Informations regarding commercial versions of AntiVir may be obtained from:
www.hbedv.com.


Scanning for 278665 virus strains and unwanted programs.

Licensed for: AntiVir Personal Edition
Seri*hier nicht!* number: 0000149991-WURGE-0001

Please enter the workstation and
contact name with phone number in this form:

Name ___________________________________________

Street ___________________________________________

Town ___________________________________________

Phone/Fax ___________________________________________

Email ___________________________________________

Platform: Windows NT Workstation
Windows version: 5.1 Build 2600 ()
Username: Christoph
Computername: CHR1S
Processor: Pentium
Working memory: 1047280 KB free

Version information:
AVWIN.DLL : 6.32.00.51 561192 04.11.2005 12:58:52
AVEWIN32.DLL : 6.33.0.75 1008128 09.01.2006 21:30:22
AVGNT.EXE : 6.32.00.02 180327 04.11.2005 12:58:52
AVGUARD.EXE : 6.32.00.12 208424 04.11.2005 12:58:52
GUARDMSG.DLL : 6.30.00.02 94248 16.03.2005 10:18:06
AVGCMSG.DLL : 6.32.00.01 295029 04.11.2005 12:58:52
AVGNTDW.SYS : 6.31.00.01 32896 04.11.2005 12:58:52
AVPACK32.DLL : 6.32.00.02 319528 04.11.2005 12:58:52
AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:18:06
AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:18:06
AVSched32.EXE : 6.32.00.01 110632 04.11.2005 12:58:52
AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:18:06
AVREG.DLL : 6.31.00.05 41000 04.11.2005 12:58:52
AVRep.DLL : 6.33.00.103 1617960 09.01.2006 21:30:30
INETUPD.EXE : 6.32.00.53 262203 04.11.2005 12:58:52
INETUPD.DLL : 6.32.00.53 143360 04.11.2005 12:58:52
CTL3D32.DLL : 2.31.000 27136 18.08.2001 13:00:00
MFC42.DLL : 6.00.8665.0 995383 18.08.2001 13:00:00
MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148
MSVCRT.DLL : 7.0.2600.0 (xp 322560 18.08.2001 13:00:00
CTL3DV2.DLL : No information

Configuration file:

Name of configuration file: F:\Programme\AVPersonal\AVWIN.INI
Name of report file: F:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Start path: F:\Programme\AVPersonal
Command line:
Start mode: unknown

Mode of report file:
[ ] Do not create report
[X] Overwrite report
[ ] Append new report

Data in report file:
[X] Infected files
[ ] Infected files with paths
[ ] All scanned files
[ ] Full information

Abridge report file:
[ ] Abridge report file

Warnings in report:
[X] Access denied/file locked
[X] Wrong file size in directory
[X] Wrong creation time in directory
[ ] COM file is too large
[X] Invalid start address
[X] Invalid EXE header
[X] Possibly damaged

Summary report:
[X] Create summary report
Output file: AVWIN.ACT
Maximum number of entries: 100

Where to search:
[X] Memory
[X] Boot record of selected drives
[ ] Report unknown boot sectors
[ ] All files
[X] Program files
Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Response in case of a detection:
[X] Repair with prompt
[ ] Repair without prompt
[ ] Delete with prompt
[ ] Delete without prompt
[ ] Write in report file only
[X] Acoustic alarm

Response in case of destroyed files:
[X] Delete with prompt
[ ] Delete without prompt
[ ] Ignore

Response in case of destroyed files:
[X] No change
[ ] Current system time
[ ] Correct date

Drag&drop settings:
[X] Scan subdirectories

Profile settings:
[X] Scan subdirectories

Archive options
[X] Search archive
[X] All archive types

Miscellaneous options:
Temporary path: %TEMP% -> C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
[X] Overwrite infected files
[ ] Detect idle time
[X] Allow interruptions of scan
[X] Load AVWin®/NT Guard on System start

General settings:
[X] Save options on exiting AntiVir
Priority: medium

Drives:
A: Floppy drive
C: Hard disk
D: CD-ROM
E: CD-ROM
F: Hard disk
G: Hard disk
I: CD-ROM

Start of scan: Donnerstag, 12. Januar 2006 18:52

Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK


Access denied! Error during file opening!
Error code: 0x0002
C:\

WARNING! Access error/file locked!
Error! Could not change directory: Chris
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp
~DFC2B7.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32
wininet.dll
[DETECTION] Contains signature of the Windows virus W32/Nsag.B
Could not be deleted!

Scan was cancelled by user!

End of scan: Donnerstag, 12. Januar 2006 18:58
Time taken: 06:15 min


1886 directories were scanned
63737 files were scanned
3 warning messages were issued
0 files were deleted
0 files were repaired
1 detection

Hab jetzt mal angegeben das mir Antivir nicht mehr anzeigen soll wenn es die Datei für Infiziert befindet. Nervt nämlich ziemlich
Hast du noch einen Tipp??

P.S. Glückwunsch zum 10000 Beitrag ^^
MFG

#14 Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

scanne noch mal mit Antivirus und berichte

danach aktiviere die systemwiederherstellug wieder
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Creation date of the report file: Freitag, 13. Januar 2006 15:38

AntiVir®/XP (2000 + NT) PersonalEdition Classic
Build 1114 of 04.11.2005
Mainprogram 6.32.00.51 of 03.11.2005
VDF file 6.33.0.118 (0) of 12.01.2006


This program is for PERSONAL USE only.
Any other use is PROHIBITED.
Informations regarding commercial versions of AntiVir may be obtained from:
www.hbedv.com.


Scanning for 279824 virus strains and unwanted programs.

Licensed for: AntiVir Personal Edition
Seri*hier nicht!* number: 0000149991-WURGE-0001

Please enter the workstation and
contact name with phone number in this form:

Name ___________________________________________

Street ___________________________________________

Town ___________________________________________

Phone/Fax ___________________________________________

Email ___________________________________________

Platform: Windows NT Workstation
Windows version: 5.1 Build 2600 ()
Username: Christoph
Computername: CHR1S
Processor: Pentium
Working memory: 1047280 KB free

Version information:
AVWIN.DLL : 6.32.00.51 561192 04.11.2005 12:58:52
AVEWIN32.DLL : 6.33.0.77 1008128 12.01.2006 19:39:10
AVGNT.EXE : 6.32.00.02 180327 04.11.2005 12:58:52
AVGUARD.EXE : 6.32.00.12 208424 04.11.2005 12:58:52
GUARDMSG.DLL : 6.30.00.02 94248 16.03.2005 10:18:06
AVGCMSG.DLL : 6.32.00.01 295029 04.11.2005 12:58:52
AVGNTDW.SYS : 6.31.00.01 32896 04.11.2005 12:58:52
AVPACK32.DLL : 6.32.00.02 319528 04.11.2005 12:58:52
AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:18:06
AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:18:06
AVSched32.EXE : 6.32.00.01 110632 04.11.2005 12:58:52
AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:18:06
AVREG.DLL : 6.31.00.05 41000 04.11.2005 12:58:52
AVRep.DLL : 6.33.00.110 1626152 12.01.2006 19:39:14
INETUPD.EXE : 6.32.00.53 262203 04.11.2005 12:58:52
INETUPD.DLL : 6.32.00.53 143360 04.11.2005 12:58:52
CTL3D32.DLL : 2.31.000 27136 18.08.2001 13:00:00
MFC42.DLL : 6.00.8665.0 995383 18.08.2001 13:00:00
MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148
MSVCRT.DLL : 7.0.2600.0 (xp 322560 18.08.2001 13:00:00
CTL3DV2.DLL : No information

Configuration file:

Name of configuration file: F:\Programme\AVPersonal\AVWIN.INI
Name of report file: F:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Start path: F:\Programme\AVPersonal
Command line:
Start mode: unknown

Mode of report file:
[ ] Do not create report
[X] Overwrite report
[ ] Append new report

Data in report file:
[X] Infected files
[ ] Infected files with paths
[ ] All scanned files
[ ] Full information

Abridge report file:
[ ] Abridge report file

Warnings in report:
[X] Access denied/file locked
[X] Wrong file size in directory
[X] Wrong creation time in directory
[ ] COM file is too large
[X] Invalid start address
[X] Invalid EXE header
[X] Possibly damaged

Summary report:
[X] Create summary report
Output file: AVWIN.ACT
Maximum number of entries: 100

Where to search:
[X] Memory
[X] Boot record of selected drives
[ ] Report unknown boot sectors
[ ] All files
[X] Program files
Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Response in case of a detection:
[X] Repair with prompt
[ ] Repair without prompt
[ ] Delete with prompt
[ ] Delete without prompt
[ ] Write in report file only
[ ] Acoustic alarm

Response in case of destroyed files:
[X] Delete with prompt
[ ] Delete without prompt
[ ] Ignore

Response in case of destroyed files:
[X] No change
[ ] Current system time
[ ] Correct date

Drag&drop settings:
[X] Scan subdirectories

Profile settings:
[X] Scan subdirectories

Archive options
[X] Search archive
[X] All archive types

Miscellaneous options:
Temporary path: %TEMP% -> C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
[X] Overwrite infected files
[ ] Detect idle time
[X] Allow interruptions of scan
[X] Load AVWin®/NT Guard on System start

General settings:
[X] Save options on exiting AntiVir
Priority: medium

Drives:
A: Floppy drive
C: Hard disk
D: CD-ROM
E: CD-ROM
F: Hard disk
G: Hard disk
I: CD-ROM

Start of scan: Freitag, 13. Januar 2006 15:38

Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK


Access denied! Error during file opening!
Error code: 0x0002
C:\

WARNING! Access error/file locked!
C:\!KillBox
atlrw.exe
[DETECTION] Is the Trojan horse TR/Agent.bi.111
WAS DELETED!
d3tb32.exe
[DETECTION] Is the Trojan horse TR/Agent.bi.111
WAS DELETED!
iewz32.exe
[DETECTION] Is the Trojan horse TR/Agent.bi.111
WAS DELETED!
Error! Could not change directory: Chris
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp
~DFCAB6.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
~DFE264.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
~DFE282.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
~DFE2A0.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
~DFE2BE.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32
wininet.dll
[DETECTION] Contains signature of the Windows virus W32/Nsag.B
Could not be deleted!
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32\drivers
atapi.sys
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!

End of scan: Freitag, 13. Januar 2006 15:45
Time taken: 06:40 min


2053 directories were scanned
68012 files were scanned
13 warning messages were issued
3 files were deleted
0 files were repaired
4 detections




Noch immer!
Komisch das Trojan horse TR/Agent.bi.111 aufeinmal drauf war!!!
MFG