Keine Adminrechte, Regedit geht och net mehr - wsock32sys

#1 Gestern abend fing mein Rechner an zu lahmen, aber wirklich am lahmen war er, ein click dauert 10 min bis zur ausführung.
Dann wollt ich eben alt+strg+entf drücken, das ging dann schon nicht mehr, weil mir auf einmal die Adminrechte fehlen, das gleiche ist bei regedit, Systemwiederherstellung geht auch nicht mehr.
Habe nun Spybot mal laufen lassen und alles entfernen lassen.
Hijack mal laufen lassen, log checken lassen, Einträge gefixt (scvhost.exe).
Nun kann ich wenigstens wieder den Taskmanager aufrufen, aber regedit etc. funktioniert immer noch nicht.

Was kann ich jetzt noch machen ? Plz Help !

#2 El-Loco

wsock32sys
http://virus-protect.org/artikel/dienste/wsock32sys.html

Hijackthis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi !
Habe grad norton am scannen, hoffe das stört nicht.
Hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:25:21, on 19.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\Programme\Messenger\msmsgs.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\RealVNC\VNC4\vncviewer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\DOKUME~1\SYSTEM~1\LOKALE~1\Temp\_tc\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCC51493-24D2-44FE-9DB3-95FC038EA31F}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

#4 El-Loco

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Regedit funktioniert auch wieder :-)

CleanUp hab ich auch so durchluafen lassen, allerdings kann ich das datfind nicht nutzen, das meine Eingabeaufforderung vom Administrator deaktiviert worden ist.

Was kann ich noch machen ?
Die Systemwiederherstellung funktioniert auch noch nicht.

#6 1.
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\System
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

2
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile


--------------------------

dann poste die Logs von datfinbat
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Soooo, nu funzt auch die cmd, ging nach 2



Habe nen neue User angelegt, mit welchem ich den cmd nutzen konnte:

19.03.2006 17:22 84.972 OODBS.lor
19.03.2006 11:42 2.206 wpa.dbl
18.03.2006 22:41 520.456 LegitCheckControl.dll
18.03.2006 22:00 25.376 bda2.tmp
18.03.2006 21:12 52.858 interceptor.sys --> ???
18.03.2006 21:11 45.056 WNASPI32.DLL
18.03.2006 20:47 8.841 ckl009.dat
18.03.2006 19:58 108 del32.bat
17.03.2006 23:30 32 getfile.dat
12.03.2006 12:41 220.840 FNTCACHE.DAT
10.03.2006 01:10 4.799.320 MRT.exe
04.03.2006 14:47 34.308 BASSMOD.dll
19.02.2006 14:55 416.258 perfh009.dat
19.02.2006 14:55 61.860 perfc009.dat
19.02.2006 14:55 438.426 perfh007.dat
19.02.2006 14:55 74.406 perfc007.dat
19.02.2006 14:55 1.003.256 PerfStringBackup.INI
11.02.2006 21:51 98.304 qttask.exe
11.02.2006 18:59 167.936 AXFOAM.DLL
05.02.2006 17:58 552 d3d8caps.dat
04.02.2006 15:29 2.320.512 kernel1.exe
29.01.2006 15:32 34.064 lhacm.acm
13.01.2006 14:42 37.888 setupnt.dll
12.01.2006 15:40 155.648 NeroCheck.exe
05.01.2006 04:46 252.928 ati2dvag.dll
05.01.2006 04:41 110.592 atipdlxx.dll
05.01.2006 04:41 77.824 Oemdspif.dll
05.01.2006 04:41 26.112 Ati2mdxx.exe
05.01.2006 04:41 40.960 ati2edxx.dll
05.01.2006 04:40 61.440 ati2evxx.dll
05.01.2006 04:39 405.504 ati2evxx.exe
05.01.2006 04:39 53.248 ATIDDC.DLL
05.01.2006 04:31 2.518.176 ati3duag.dll
05.01.2006 04:25 862.336 ativvaxx.dll
05.01.2006 04:20 6.684.672 atioglx1.dll
05.01.2006 04:19 307.200 atiiiexx.dll
05.01.2006 04:11 151.552 atikvmag.dll
05.01.2006 04:10 17.408 atitvo32.dll
05.01.2006 04:05 237.568 ati2cqag.dll
05.01.2006 04:01 4.968.448 atioglxx.dll
05.01.2006 03:22 258.048 ATIDEMGR.dll
04.01.2006 04:35 68.096 webclnt.dll

Verzeichnis von C:\DOKUME~1\test\LOKALE~1\Temp

19.03.2006 17:58 206 jusched.log
19.03.2006 17:47 32.768 ~DF79B8.tmp
19.03.2006 10:38 478 MSI2f8ec.LOG
3 Datei(en) 33.452 Bytes
0 Verzeichnis(se), 4.749.017.088 Bytes frei


Verzeichnis von C:\WINDOWS

19.03.2006 17:23 0 0.log
19.03.2006 17:23 50 wiaservc.log
19.03.2006 17:23 1.666.331 WindowsUpdate.log
19.03.2006 17:23 159 wiadebug.log
19.03.2006 17:22 2.048 bootstat.dat
19.03.2006 17:22 32.564 SchedLgU.Txt
19.03.2006 12:18 1.452 LUINSTALL.LOG
19.03.2006 11:34 914.018 ntbtlog.txt
19.03.2006 10:37 776 win.ini
19.03.2006 10:37 1.174 OEWABLog.txt
19.03.2006 10:37 42.298 wmsetup.log
19.03.2006 10:15 101.400 setupapi.log
19.03.2006 09:49 1.908 system.ini
18.03.2006 21:12 666 KB829558.log
18.03.2006 13:42 150 klickIdentPP
15.03.2006 18:01 1.409 QTFont.for
15.03.2006 18:01 54.156 QTFont.qfn
12.03.2006 20:39 116 NeroDigital.ini
05.03.2006 18:55 512 ODBC.INI
05.03.2006 12:14 101 winzipme.ini
04.03.2006 19:37 428.197 iis6.log
04.03.2006 19:37 73.872 comsetup.log
04.03.2006 19:37 46.432 ntdtcsetup.log
04.03.2006 19:37 1.891 imsins.log
04.03.2006 19:37 91.559 tsoc.log
04.03.2006 19:37 9.027 tabletoc.log
04.03.2006 19:37 10.359 ocmsn.log
04.03.2006 19:37 113.942 ocgen.log
04.03.2006 19:37 32.470 netfxocm.log
04.03.2006 19:37 13.776 MedCtrOC.log
04.03.2006 19:37 9.674 msgsocm.log
04.03.2006 19:37 172.761 FaxSetup.log
04.03.2006 19:37 64.460 msmqinst.log
04.03.2006 17:05 304.206 setupact.log
04.03.2006 14:45 0 popcinfo.dat
20.02.2006 16:08 3.686.454 ACD Hintergrund.bmp
16.02.2006 10:48 923 spupdsvc.log
15.02.2006 22:14 1.374 imsins.BAK
15.02.2006 22:14 11.082 KB911927.log
15.02.2006 22:14 18.672 updspapi.log
15.02.2006 22:14 9.263 KB911564.log
15.02.2006 22:13 9.534 KB911565.log
15.02.2006 22:13 6.859 KB913446.log
13.02.2006 16:21 1.033.727 setupapi.log.0.old
11.02.2006 18:59 3.778 mozver.dat
10.02.2006 23:42 3.045 Ascd_tmp.ini
05.02.2006 22:15 586 KB822603.log
05.02.2006 17:53 69.567 Omega Drivers v3.8.205.log
05.02.2006 17:49 451.072 Radeon Omega Drivers v3.8.205 Uninstall.exe
05.02.2006 17:39 10 WININIT.INI
05.02.2006 16:52 2.908 COM+.log
04.02.2006 15:37 49 SPM.INI
26.01.2006 19:09 86 KE.log
19.01.2006 16:27 467 cdplayer.ini
14.01.2006 23:27 737.280 iun6002.exe
11.01.2006 22:08 10.568 KB908519.log
11.01.2006 18:29 738 XMLEditor3.INI
09.01.2006 20:32 56.934 DirectX.log
07.01.2006 17:10 455 wmsetup10.log
07.01.2006 15:10 11.461 KB912919.log
07.01.2006 13:08 0 Winhjprn.dll
07.01.2006 12:14 772 hpinfo.lnk
07.01.2006 12:13 376 mozregistry.dat
05.01.2006 19:34 158 ktel.ini


19.03.2006 18:07 0 sys.txt
19.03.2006 18:07 10.014 system.txt
19.03.2006 18:06 383 systemtemp.txt
19.03.2006 18:05 111.406 system32.txt
19.03.2006 17:22 1.073.270.784 hiberfil.sys
19.03.2006 17:22 805.306.368 pagefile.sys
19.03.2006 09:49 353 boot.ini
18.03.2006 18:06 7.857 camd3.keys
04.03.2006 19:41 190 drwtsn32.log
01.03.2006 17:52 2.315 TDSLCheck.txt
22.02.2006 18:21 45 TEST.XML
05.02.2006 18:43 160 TO_InstallLog.txt
22.01.2006 13:07 229.058 TEMP.psd
16.01.2006 19:32 93 temp.log

#8 Backdoor.Win32.Ciadoor.13
http://virus-protect.org/artikel/dienste/wsock32sys.html

1.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\Winhjprn.dll
C:\WINDOWS\system32\kernel1.exe
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\bda2.tmp
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\C:\WINDOWS\System32\svchost.exe

klicke die gruene Ampel
das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
poste den scanreport vom Avenger

3.
Einzelne Dateien scannen--> hier posten, bitte
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\AXFOAM.DLL
C:\WINDOWS\system32\interceptor.sys
C:\WINDOWS\system32\inetsrv
C:\WINDOWS\system32\inetsrv\inetinfo.exe

????????????????????????
Also INETINFO.EXE ist ein Teil des IIS von Microsoft (IIS ist eine Serversoftware), wobei es sich bei dem Tool um ein Admintool handelt, das bei dir drauf ist, wenn du den IIS installiert hast

4.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#9 1. & 2

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rbmhidbx

*******************

Script file located at: \??\C:\WINDOWS\pxaipemw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Winhjprn.dll deleted successfully.
File C:\WINDOWS\system32\kernel1.exe deleted successfully.


File C:\WINDOWS\system32\wsock32.sys not found!
Deletion of file C:\WINDOWS\system32\wsock32.sys failed!

Could not process line:
C:\WINDOWS\system32\wsock32.sys
Status: 0xc0000034

File C:\WINDOWS\system32\ckl009.dat deleted successfully.
File C:\WINDOWS\system32\del32.bat deleted successfully.
File C:\WINDOWS\system32\bda2.tmp deleted successfully.


File C:\WINDOWS\system32\scvhost.exe not found!
Deletion of file C:\WINDOWS\system32\scvhost.exe failed!

Could not process line:
C:\WINDOWS\system32\scvhost.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

zu 3:

die virustotal Seite kann nicht gefunden werden

zu 4:

das Script kann nicht beendet werden (Erlaubnis verweigert), da steht dann was von Skript: ...,
Zeile: 171,
Zeichen: 1,
Fehler: Erlaubnis verweigert,
Code: 800A0046,
Quelle: Laufzeitfehler on Microsoft VBScript,

die erste Versionsnr wird angezeigt.

#10 1.
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie

2.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 canning C: [System]
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 9011
Clean: ................. 8998
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:04.52


Scanning C: [System]
Scanning C:\*.*
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Spiele\Battlefield 2\Battlefield 2 online mit GameSpy Arcade spielen.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Spiele\FEAR\Play F.E.A.R. Online with GameSpy Arcade.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Programme\FlashGet\Jccatch.dll ... Found potentially unwanted program Adware-FlashGet.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 104836
Clean: ................. 104799
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 3
Non-critical Error(s): 3


Time: 00:24.21




KASPERSKY ON-LINE SCANNER REPORT
Sunday, March 19, 2006 10:45:50 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 19/03/2006
Kaspersky Anti-Virus database records: 171823
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target Critical Areas
C:\WINDOWS
C:\DOKUME~1\SYSTEM~1\LOKALE~1\Temp\
Scan Statistics
Total number of scanned objects 13775
Number of viruses found 1
Number of infected objects 2
Number of suspicious objects 0
Duration of the scan process 00:07:16

Infected Object Name Virus Name Last Action
C:\WINDOWS\uninstall\Audiograbber\setup.exe Infected: Backdoor.Win32.VB.aos skipped
C:\WINDOWS\uninstall\Audiograbber Lame PlugIn\setup.exe Infected: Backdoor.Win32.VB.aos skipped
Scan process completed.

#12 El-Loco

es scheint, ich habe fast alle Viren "erwischt"...aber .... grabe mal tiefer....

loeschen:
C:\WINDOWS\uninstall\Audiograbber\setup.exe
C:\WINDOWS\uninstall\Audiograbber Lame PlugIn\setup.exe
C:\WINDOWS\uninstall\Audiograbber
C:\WINDOWS\uninstall

scanne mit ewido (im abgesicherten Modus) und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Super !!!!!
Hab mit ewido noch nen paar gefunden.
Nun läuft mein Rechner wieder 1a.

1000dank

Werde ich weiterempfehlen hier !

#14 Hallo zusammen!!

also ich bin schon sher verzweifelt! habe auch das problem das ich angeblich nicht die recht habe um z.b. eine systemwiederherstellung zu machen usw. Mein taskmanager ging am anfang auch nicht mehr, habe ihn aber danke vieler vorschläge von euch hinbekommen. wollte auch dieses counterspy prog installieren nur das ging auch nicht. Würde mich sehr freuen wenn mir jemand weiterhelfen könnte! viele grüße

OvanCook
p.s. habe schon antivir, avg, bitdefender usw. drüberfahren lassen

mein avg hatte mir nur was von einem msock32.sys oder sowas gemeldet

Bitte Hilfe :-)

#15 OvanCook

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
RootkitRevealer -> poste den Report
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit