Beim Start blauer Bildschirm / Es öffnen sich immer Popups

#1 Hi,
hab seit kurzen irgend einen Virus drauf. Wenn ich Windows starte kommt gar nichts nur der blaue Hintergrund. Ich kann Programme wie den Internetexplorer nur über den Taskmanager über "neuer Task" ausführen. Es gibt keine Taskleiste und keine Symbole.....

Hiermal meine Hijackthis.log:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\rundll32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\rundll32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: Shell=Explor
O2 - BHO: (no name) - {958A41A2-9ADF-8C71-90A1-94F0405926E7} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} (AV Class) - http://www.pcpitstop.com/antivirus/PitPav.cab
O20 - Winlogon Notify: URL - C:\WINNT\system32\mvr4l99q1.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Mshost Control Center - Unknown owner - C:\WINNT\rundll32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe



Ich hoffe jemand kann mir helfen
Mfg
Felix

#2 Felixibus

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINNT\rundll32.exe

poste den bericht

----------------------------------------------------------------------------

2.
Look2Me-Destroyer V1.0.5 anwenden (poste den scanreport)
http://virus-protect.org/l2mfix.html

3.
stelle den CleanUp genauso ein, wie hier angegeben: ..dann den Rechner neustarten !
http://virus-protect.org/cleanup.html

4.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 1.

AntiVir 6.34.1.37 06.02.2006 Heuristic/Crypted.Modified
Authentium 4.93.8 06.02.2006 W32/Backdoor.AMY
Avast 4.7.844.0 06.02.2006 Win32:Trojan-gen. {UPX!}
AVG 386 06.01.2006 BackDoor.Delf.16.BF
BitDefender 7.2 06.02.2006 Backdoor.Delf.TP
CAT-QuickHeal 8.00 06.01.2006 no virus found
ClamAV devel-20060426 06.02.2006 Trojan.W32.Graybird.AO
DrWeb 4.33 06.02.2006 BackDoor.Gezi
eTrust-InoculateIT 23.72.25 06.02.2006 Win32/Pigeon.Variant!Trojan
eTrust-Vet 12.6.2240 06.02.2006 no virus found
Ewido 3.5 06.02.2006 Dropper.Delf.gh
Fortinet 2.77.0.0 06.01.2006 W32/Delf.TP!tr.bdr
F-Prot 3.16f 06.02.2006 security risk named W32/Backdoor.AMY
Ikarus 0.2.65.0 06.02.2006 no virus found
Kaspersky 4.0.2.24 06.02.2006 Backdoor.Win32.Delf.tp
McAfee 4775 06.01.2006 BackDoor-AWQ.b
Microsoft 1.1441 06.02.2006 Backdoor:Win32/Delf.TP
NOD32v2 1.1575 06.02.2006 Win32/Hupigon.NB
Norman 5.90.17 06.02.2006 W32/Malware
Panda 9.0.0.4 06.01.2006 Suspicious file
Sophos 4.05.0 06.02.2006 Troj/Delf-JF
Symantec 8.0 06.02.2006 no virus found
TheHacker 5.9.8.154 06.01.2006 no virus found
UNA 1.83 06.01.2006 Backdoor.Delf
VBA32 3.11.0 06.02.2006 suspected of Embedded.Backdoor.Win32.Hupigon.cl

File size: 335764 bytes
MD5: 068af32110a4612f8b887d93b2256951
SHA1: 119594224cd212550ba80ba1051b3b62df6222d1
Packers: UPX
Norman SandBox:
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Decompressing UPX.
* Accesses executable file from resource section.
* File length: 335764 bytes.

[ Changes to filesystem ]
* Deletes file C:WINDOWS undll32.exe.
* Deletes existing software modules.
* Creates file C:WINDOWS undll32.exe.
* Creates file C:WINDOWS undll32.DLL.

[ Changes to registry ]
* Creates key "HKLMSystemCurrentControlSetServicesMshost Control Center".
* Sets value "ImagePath"="C:WINDOWS undll32.exe" in key "HKLMSystemCurrentControlSetServicesMshost Control Center".
* Sets value "DisplayName"="Mshost Control Center" in key "HKLMSystemCurrentControlSetServicesMshost Control Center".
* Creates key "HKCUSoftwareMicrosoftInternet Connection Wizard".
* Sets value "Completed"="
" in key "HKCUSoftwareMicrosoftInternet Connection Wizard".
* Sets value "default_page_url"="about:blank" in key "HKCUSoftwareMicrosoftInternet ExplorerMain".
* Sets value "First Home Page"="about:blank" in key "HKCUSoftwareMicrosoftInternet ExplorerMain".
* Creates key "HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel".
* Sets value "Check_If_Default"="" in key "HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel".
* Sets value "Check_Associations"="no" in key "HKCUSoftwareMicrosoftInternet ExplorerMain".
* Sets value "Check_Associations"="no" in key "HKLMSoftwareMicrosoftInternet ExplorerMain".

[ Process/window information ]
* Creates a mutex Gpigeon_Shared_MUTEX.
* Attempts to access service "Mshost Control Center".
* Creates service "Mshost Control Center (Mshost Control Center)" as "C:WINDOWS undll32.exe".
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.
* Creates an event called .

2.)
ook2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 02.06.2006 16:16:11

Infected! C:\WINNT\system32\n86q0ij5e8o.dll
Infected! C:\WINNT\system32\DWomExt.dll
Infected! C:\WINNT\system32\ir0ul5d91.dll
Infected! C:\WINNT\system32\j2l4lc3q1f.dll
Infected! C:\WINNT\system32\kt4ul7h91.dll
Infected! C:\WINNT\system32\kydir.dll
Infected! C:\WINNT\system32\mcjdbc10.dll
Infected! C:\WINNT\system32\n86q0ij5e8o.dll
Infected! C:\WINNT\system32\o8660ijse8o60.dll
Infected! C:\WINNT\system32\o866lijs18o6.dll
Infected! C:\WINNT\system32\r0p8la7u1d.dll
Infected! C:\WINNT\System32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\WINNT\system32\n86q0ij5e8o.dll
C:\WINNT\system32\n86q0ij5e8o.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\DWomExt.dll
C:\WINNT\system32\DWomExt.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\ir0ul5d91.dll
C:\WINNT\system32\ir0ul5d91.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\j2l4lc3q1f.dll
C:\WINNT\system32\j2l4lc3q1f.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\kt4ul7h91.dll
C:\WINNT\system32\kt4ul7h91.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\kydir.dll
C:\WINNT\system32\kydir.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\mcjdbc10.dll
C:\WINNT\system32\mcjdbc10.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\n86q0ij5e8o.dll
C:\WINNT\system32\n86q0ij5e8o.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\o8660ijse8o60.dll
C:\WINNT\system32\o8660ijse8o60.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\o866lijs18o6.dll
C:\WINNT\system32\o866lijs18o6.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\r0p8la7u1d.dll
C:\WINNT\system32\r0p8la7u1d.dll Deleted successfully!

Attempting to delete: C:\WINNT\System32\guard.tmp
C:\WINNT\System32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellServiceObjectDelayLoad
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Uninstall

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{174A1233-F929-42A8-8F95-1D47EBA99318}"
HKCR\Clsid\{174A1233-F929-42A8-8F95-1D47EBA99318}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F4E3EDB6-8F9F-464A-8AE8-F6E5AC567745}"
HKCR\Clsid\{F4E3EDB6-8F9F-464A-8AE8-F6E5AC567745}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{21A0C190-8CC6-4D85-98CA-F69A70C314A0}"
HKCR\Clsid\{21A0C190-8CC6-4D85-98CA-F69A70C314A0}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded


zu 4.)


1.textdatei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6461-30D1

Verzeichnis von C:\WINNT\system32

01.06.2006 15:16 24.109.544 COMCT32LOG.DLL
29.04.2006 23:07 480 ws848151.ocx
17.04.2006 12:23 98.256 FNTCACHE.DAT
07.04.2006 10:32 1.764 safe.tlb
25.02.2006 18:38 0 d3zp.exe
02.02.2006 19:21 2.158 ssmute.ini
02.02.2006 19:14 0 sglso.log

2. textdatei

Datentr„gernummer: 6461-30D1

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

02.06.2006 16:29 16.384 ~DF6629.tmp
02.06.2006 16:29 512 ~DF4263.tmp
02.06.2006 16:29 16.384 ~DF425B.tmp
02.06.2006 16:24 16.384 ~DF4074.tmp
02.06.2006 16:24 16.384 ~DF4084.tmp
02.06.2006 16:24 16.384 ~DF4064.tmp
02.06.2006 16:24 16.384 ~DF4053.tmp
02.06.2006 16:22 16.384 ~DF53DA.tmp
02.06.2006 16:21 16.384 ~DF18A2.tmp
9 Datei(en) 131.584 Bytes
0 Verzeichnis(se), 54.123.126.784 Bytes frei

3. textdatei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6461-30D1

Verzeichnis von C:\WINNT

02.06.2006 16:21 649.728 rundll32.DLL
02.06.2006 13:56 32.626 SchedLgU.Txt
02.06.2006 12:07 29.482 ntbtlog.txt
01.06.2006 20:10 1.006.060 ShellIconCache
01.06.2006 14:49 250 vwbwh.dll
31.05.2006 12:56 39.424 mtuninst.exe
31.05.2006 12:56 1.124.169 setupapi.log
31.05.2006 12:55 32.768 unstall.exe
31.05.2006 12:55 193 mm06y.ini
31.05.2006 12:55 24.576 up9.exe
31.05.2006 12:55 53 vowpce.dat
31.05.2006 12:54 2 tempf.txt
31.05.2006 12:50 13.165 pre.exe
26.05.2006 16:33 54.156 QTFont.qfn
26.05.2006 12:50 204 cdplayer.ini
26.05.2006 11:51 3.501 mozver.dat
17.04.2006 16:15 66.351 War3Unin.dat
17.04.2006 13:57 27 WS_FTP.INI
12.04.2006 19:41 114.295 wmsetup.log
12.04.2006 19:41 316.640 WMSysPr9.prx
11.04.2006 14:29 354 win.ini

4. textdatei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6461-30D1

Verzeichnis von C:\

02.06.2006 16:38 0 sys.txt
02.06.2006 16:38 11.916 system.txt
02.06.2006 16:38 719 systemtemp.txt
02.06.2006 16:38 95.086 system32.txt
02.06.2006 16:33 1.960 c.txt
02.06.2006 16:33 11.916 windows.txt
02.06.2006 16:33 719 temp.txt
02.06.2006 16:20 805.306.368 pagefile.sys
31.05.2006 12:56 29.251 mc-110-12-0000228.exe
29.04.2006 23:07 480 os930559.bin

#4 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Mshost Control Center

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 1.

Start -> Ausführen --> schreib rein: notepad -- klicke OK.
oder , falls das Kommando nicht stimmt, öffne den Editor....

Dann kopiere folgenden Text rein:

Zitat

sc stop Mshost Control Center
sc delete Mshost Control Center
del delete.bat

Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken
-------------------------------------------------------------------------

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINNT\rundll32.exe
C:\WINNT\rundll32.DLL
C:\WINNT\unstall.exe
C:\WINNT\mm06y.ini
C:\WINNT\up9.exe
C:\WINNT\vowpce.dat
C:\WINNT\tempf.txt
C:\WINNT\pre.exe
C:\mc-110-12-0000228.exe
C:\WINNT\system32\safe.tlb
C:\WINNT\system32\d3zp.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

*
poste das log vom Avenger

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

F2 - REG:system.ini: Shell=Explor --> fixe diesen Eintrag, wenn wirklich nur "Explor" dasteht, falls es nur falsch abkopiert war und "Explorer" dasteht, fixe es noch nicht)

O20 - Winlogon Notify: URL - C:\WINNT\system32\mvr4l99q1.dll
O23 - Service: Mshost Control Center - Unknown owner - C:\WINNT\rundll32.exe

PC neustarten

*
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
poste noch mal die 4 Logs von datfindbat + siehe oben
das log von Mshost Control Center



__________
MfG Sabina

rund um die PC-Sicherheit

#6 Bobbi Flekman

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 03.06.2006 12:50:42 for strings:
; 'mshost control center'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000]
"Service"="Mshost Control Center"
"DeviceDesc"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000\Control]
"ActiveService"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center]
"DisplayName"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000]
"Service"="Mshost Control Center"
"DeviceDesc"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Mshost Control Center]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Mshost Control Center]
"DisplayName"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Mshost Control Center\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000]
"Service"="Mshost Control Center"
"DeviceDesc"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000\Control]
"ActiveService"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center]
"DisplayName"="Mshost Control Center"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center\Enum]

; End Of The Log...


AVENGER LOG

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\axxjtghe

*******************

Script file located at: \??\C:\WINNT\System32\gqqsaxvs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINNT\rundll32.exe deleted successfully.
File C:\WINNT\rundll32.DLL deleted successfully.
File C:\WINNT\unstall.exe deleted successfully.
File C:\WINNT\mm06y.ini deleted successfully.
File C:\WINNT\up9.exe deleted successfully.
File C:\WINNT\vowpce.dat deleted successfully.
File C:\WINNT\tempf.txt deleted successfully.
File C:\WINNT\pre.exe deleted successfully.
File C:\mc-110-12-0000228.exe deleted successfully.
File C:\WINNT\system32\safe.tlb deleted successfully.
File C:\WINNT\system32\d3zp.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


DATFINDBAT

1.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6461-30D1

Verzeichnis von C:\WINNT\system32

02.06.2006 21:04 24.113.757 COMCT32LOG.DLL
29.04.2006 23:07 480 ws848151.ocx
17.04.2006 12:23 98.256 FNTCACHE.DAT
02.02.2006 19:21 2.158 ssmute.ini
02.02.2006 19:14 0 sglso.log

2.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6461-30D1

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

03.06.2006 13:04 16.384 ~DF564.tmp
03.06.2006 13:04 512 ~DFEFF4.tmp
03.06.2006 13:04 16.384 ~DFEFE9.tmp
03.06.2006 12:57 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}10437.html
03.06.2006 12:56 16.384 ~DFD195.tmp
03.06.2006 12:56 16.384 ~DF756D.tmp
03.06.2006 12:47 16.384 ~DF4CA3.tmp
03.06.2006 12:47 16.384 ~DF3431.tmp
02.06.2006 17:46 412 jusched.log
9 Datei(en) 100.211 Bytes
0 Verzeichnis(se), 54.137.352.192 Bytes frei

3.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6461-30D1

Verzeichnis von C:\WINNT

03.06.2006 13:02 32.626 SchedLgU.Txt
03.06.2006 13:02 1.006.502 ShellIconCache
02.06.2006 12:07 29.482 ntbtlog.txt
01.06.2006 14:49 250 vwbwh.dll
31.05.2006 12:56 39.424 mtuninst.exe
31.05.2006 12:56 1.124.169 setupapi.log
26.05.2006 16:33 54.156 QTFont.qfn
26.05.2006 12:50 204 cdplayer.ini
26.05.2006 11:51 3.501 mozver.dat
17.04.2006 16:15 66.351 War3Unin.dat
17.04.2006 13:57 27 WS_FTP.INI
12.04.2006 19:41 114.295 wmsetup.log
12.04.2006 19:41 316.640 WMSysPr9.prx
11.04.2006 14:29 354 win.ini

4.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 6461-30D1

Verzeichnis von C:\

03.06.2006 13:09 0 sys.txt
03.06.2006 13:09 11.511 system.txt
03.06.2006 13:08 767 systemtemp.txt
03.06.2006 13:08 94.988 system32.txt
03.06.2006 13:03 805.306.368 pagefile.sys
03.06.2006 12:55 2.058 avenger.txt
02.06.2006 16:33 1.960 c.txt
02.06.2006 16:33 11.916 windows.txt
02.06.2006 16:33 719 temp.txt
29.04.2006 23:07 480 os930559.bin
26.12.2005 15:18 827 wtvClient.ini


Wie es scheint geht wieder alles und es öffnen sich keine popups mehr. Lediglich Antivirus gibt mir bei Neustart noch ne Meldung das noch was drauf ist, irgendwie "nsag.dll" oder so. Aber vielen vielen Dank fürs Richten

DAAAANKE
Felix

#7 **
gehe in die Registry
Start - Ausfuehren - regedit

* loeschen: "Completed"="
" in key HKEY_CURRENT_USER\Software\Microsoft\Internet\Connection Wizard

*Loeschen: "default_page_url"="about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

*Loeschen: "First Home Page"="about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

* Loeschen: "Check_If_Default"="" in key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main -> "Check_Associations"="no"aendern in "yes"
* HKEY_LOCAL_MACHINE\Software\MicrosoftInternet Explorer\Main -> "Check_Associations"="no" aendern in "yes"

------------------------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Mshost Control Center]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center]

kopiere in den Avenger

Zitat

Files to delete:
C:\WINNT\vwbwh.dll
C:\WINNT\mtuninst.exe

klicke die gruene Ampel

**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

--------------------------------------------
**
boote wieder in den Normalmodus

**
arbeite smitfraud.fix ab und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
dr.web
http://virus-protect.org/cureit.html
Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren
%userprofile%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
---------------------------------------------------------------
**
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit