Home » Viren, Trojaner & Malware Forum » Habe TR/Dldr.adload.cy.1 und bekomme ihn nicht weg » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Habe TR/Dldr.adload.cy.1 und bekomme ihn nicht weg

Thema ist geschlossen!

06.08.2006, 17:13

onewinged

...neu hier

Beiträge: 6

#1 Hallo,

seit 3 Tagen bekomme ich von Antivir die Virusmeldung TR/dldr.adload.cy.1, dieser befindet sich in C:\WINNT\System32\Com\dreve.exe. Wenn ich die Datei lösche/umbenenne oder in Quarantäne schicke, öffnet sich ein cmd-Fenster, und meckert das die Datei nicht gefunden wurde, danach bekomme ich eine Rundll Meldung mit einem Fehler.

Die Datei erstellt mir in C:\ eine Datei namens Pro3_install.exe.

Ich habe alles nach http://board.protecus.de/t23188.htm Anleitung installiert und ausgeführt, nachdem Clean-Up! 2x gelaufen war, hörte die Meldung auf und die datei dreve.exe tauchte auch nicht mehr auf. Ich höffe ich habe es geschafft, poste aber zur Sicherheit nochmals die Logs der anderen Programme. Hijackthis! meldet nämlich im Log so dubiose .dll files.

Hijackthis Log:
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\wdfmgr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ideazon\Zboard Software\Driver\ZboardTray.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe
C:\WINNT\system32\lexpps.exe
C:\Programme\Ideazon\Zboard Software\Driver\Zboard.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\prufung.com.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: 85.25.2.55 gotoplay
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C372C16-C134-4A5F-9437-6C66FA3807C7} - C:\WINNT\system32\vturr.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\xxyaawx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TransferManager] C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe /Embedding
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: vturr - C:\WINNT\system32\vturr.dll
O20 - Winlogon Notify: xxyaawx - C:\WINNT\SYSTEM32\xxyaawx.dll
O20 - Winlogon Notify: Zboard - C:\WINNT\SYSTEM32\Winlognotif.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINNT\wdfmgr.exe

Combofix Log:
2006-08-06 16:45:12 ( .D... ) "C:\Programme\Mozilla Firefox"
2006-08-06 16:41:28 38925 ( ..SH. ) "C:\WINNT\system32\ssqrstq.dll"
2006-08-06 16:40:54 183587 ( A.... ) "C:\pro3_install.exe"
2006-08-06 16:05:14 ( .D... ) "C:\Programme\CleanUp!"
2006-08-06 16:02:06 38925 ( ..SH. ) "C:\WINNT\system32\mljhfec.dll"
2006-08-06 15:19:48 38925 ( ..SH. ) "C:\WINNT\system32\byxuvsq.dll"
2006-08-06 12:50:00 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-08-06 12:43:02 38925 ( ..SH. ) "C:\WINNT\system32\hgggghg.dll"
2006-08-06 12:35:02 ( .D.H. ) "C:\Programme\InstallShield Installation Information"
2006-08-06 12:34:30 ( .D... ) "C:\Programme\eBay"
2006-08-06 12:32:58 ( .D... ) "C:\Programme\ICQLite"
2006-08-06 12:10:16 38925 ( ..SH. ) "C:\WINNT\system32\ddcawwv.dll"
2006-08-06 01:27:40 38925 ( ..SH. ) "C:\WINNT\system32\gebabbc.dll"
2006-08-06 00:50:58 38925 ( ..SH. ) "C:\WINNT\system32\efcaawv.dll"
2006-08-05 23:44:32 38925 ( ..SH. ) "C:\WINNT\system32\fccccaw.dll"
2006-08-05 23:32:14 38925 ( ..SH. ) "C:\WINNT\system32\ljjjjhf.dll"
2006-08-05 21:37:50 ( .D... ) "C:\Programme\Fire Magic"
2006-08-05 18:58:02 38925 ( ..SH. ) "C:\WINNT\system32\yayxxxv.dll"
2006-08-05 12:59:56 38925 ( ..SH. ) "C:\WINNT\system32\qomjjjg.dll"
2006-08-05 12:33:50 38925 ( ..SH. ) "C:\WINNT\system32\yayyvvt.dll"
2006-08-05 11:14:38 ( .D... ) "C:\Programme\IHLE Software"
2006-08-05 06:03:00 38925 ( ..SH. ) "C:\WINNT\system32\opnnmlk.dll"
2006-08-05 02:00:32 38925 ( ..SH. ) "C:\WINNT\system32\xxyxvvs.dll"
2006-08-05 01:07:58 38925 ( ..SH. ) "C:\WINNT\system32\gebbywx.dll"
2006-08-05 00:39:08 38925 ( ..SH. ) "C:\WINNT\system32\mljjjhh.dll"
2006-08-04 23:42:06 ( .D... ) "C:\Programme\Winamp"
2006-08-04 23:41:20 38925 ( ..SH. ) "C:\WINNT\system32\fccyaaw.dll"
2006-08-04 23:15:40 ( .D... ) "C:\Programme\Lineage2"
2006-08-04 21:32:02 38925 ( ..SH. ) "C:\WINNT\system32\xxyaawx.dll"
2006-08-04 19:00:20 573492 ( ..SH. ) "C:\WINNT\system32\vturr.dll"
2006-08-04 18:54:36 38925 ( ..SH. ) "C:\WINNT\system32\jkkhijh.dll"
2006-08-02 12:16:02 ( .D... ) "C:\Programme\eMule"
2006-08-01 13:32:22 104170 ( ..SHR ) "C:\WINNT\wdfmgr.exe"
2006-07-27 09:47:32 ( .D... ) "C:\Programme\Google"
2006-07-27 09:45:20 ( .D... ) "C:\Programme\UseNeXT"
2006-07-25 12:12:28 10856 ( A.SH. ) "C:\WINNT\system32\KGyGaAvL.sys"
2006-07-25 12:12:28 10856 ( A.SH. ) "C:\WINNT\system32\KGyGaAvL.sys"
2006-07-22 18:21:02 ( .D... ) "C:\Programme\World of Warcraft"
2006-07-10 12:09:18 ( AD... ) "C:\Programme\Gemeinsame Dateien"
2006-07-10 12:09:18 ( .D... ) "C:\Programme\Gemeinsame Dateien\Xuisoft"
2006-07-10 12:08:40 ( .D... ) "C:\Programme\GifCreator"
2006-07-06 14:13:14 ( .D... ) "C:\Programme\Visions"
2006-07-06 11:03:06 ( .D... ) "C:\Programme\Lexware"
2006-07-06 11:00:50 ( .D... ) "C:\Programme\Personalakte"
2006-07-06 11:00:50 ( .D... ) "C:\Programme\PersMan"
2006-07-03 10:05:38 ( .D... ) "C:\Programme\GWFreaks"
2006-07-03 10:05:04 ( .D... ) "C:\Programme\Oberon Media"
2006-07-01 17:34:24 ( .D... ) "C:\Programme\Ideazon"
2006-07-01 16:53:10 ( .D... ) "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ideazon"
2006-06-11 21:49:22 57384 ( A.... ) "C:\WINNT\system32\avsda.dll"
2006-05-19 11:18:12 136976 ( A.... ) "C:\WINNT\system32\dnsapi.dll"
2006-05-19 11:18:12 90384 ( A.... ) "C:\WINNT\system32\DHCPCSVC.DLL"
2006-05-19 11:18:12 68880 ( A.... ) "C:\WINNT\system32\IPHLPAPI.DLL"
2006-05-11 12:08:04 532480 ( A.... ) "C:\WINNT\system32\Radeon1600.scr"
2005-02-16 19:44:52 22080 ( ...H. ) "C:\Programme\folder.htt"
2005-02-16 19:44:52 271 ( ...H. ) "C:\Programme\desktop.ini"

(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))

2006-08-06 16:41 38.925 C:\WINNT\system32\ssqrstq.dll
2006-08-06 16:40 183.587 C:\pro3_install.exe
2006-08-06 16:02 38.925 C:\WINNT\system32\mljhfec.dll
2006-08-06 15:19 38.925 C:\WINNT\system32\byxuvsq.dll
2006-08-06 12:43 38.925 C:\WINNT\system32\hgggghg.dll
2006-08-06 12:10 38.925 C:\WINNT\system32\ddcawwv.dll
2006-08-06 01:27 38.925 C:\WINNT\system32\gebabbc.dll
2006-08-06 00:50 38.925 C:\WINNT\system32\efcaawv.dll
2006-08-05 23:44 38.925 C:\WINNT\system32\fccccaw.dll
2006-08-05 23:32 38.925 C:\WINNT\system32\ljjjjhf.dll
2006-08-05 18:58 38.925 C:\WINNT\system32\yayxxxv.dll
2006-08-05 12:59 38.925 C:\WINNT\system32\qomjjjg.dll
2006-08-05 12:33 38.925 C:\WINNT\system32\yayyvvt.dll
2006-08-05 06:02 38.925 C:\WINNT\system32\opnnmlk.dll
2006-08-05 02:00 38.925 C:\WINNT\system32\xxyxvvs.dll
2006-08-05 01:07 38.925 C:\WINNT\system32\gebbywx.dll
2006-08-05 00:39 38.925 C:\WINNT\system32\mljjjhh.dll
2006-08-04 23:41 38.925 C:\WINNT\system32\fccyaaw.dll
2006-08-04 21:32 38.925 C:\WINNT\system32\xxyaawx.dll
2006-08-04 19:00 573.492 C:\WINNT\system32\vturr.dll
2006-08-04 18:54 38.925 C:\WINNT\system32\jkkhijh.dll
2006-08-04 18:54 104.170 C:\WINNT\wdfmgr.exe
2006-08-01 15:45 4.682 C:\WINNT\system32\npptNT2.sys
2006-07-25 12:12 10.856 C:\WINNT\system32\KGyGaAvL.sys
2006-07-06 10:59 2.969.960 C:\WINNT\system32\Windows2000-KB829558-x86-DEU.exe
2006-07-01 17:34 49.152 C:\WINNT\system32\Winlognotif.dll
2006-07-01 16:46 19.728 C:\WINNT\system32\hidserv.exe

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"SoundMan"="SOUNDMAN.EXE"
"Share-to-Web Namespace Daemon"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"TrueImageMonitor.exe"="C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"Lexmark X74-X75"="\"C:\\Programme\\Lexmark X74-X75\\lxbbbmgr.exe\""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"TransferManager"="C:\\PROGRA~1\\GEMEIN~1\\Lexware\\INTERN~1\\LxTrans.exe /Embedding"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"ZboardTray"="\"C:\\Programme\\Ideazon\\Zboard Software\\Driver\\ZboardTray.exe\" /autolaunch"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000002

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Ragnaros.gif"
"SubscribedURL"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Ragnaros.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,c7,01,00,00,29,00,00,00,82,02,00,00,e0,02,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,f0,01,00,00,3f,00,00,00,2f,02,00,00,89,02,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,44,93,a5,03,00,00,00,40,b0,a6,a5,03,18,c3,\
76,71,40,26,71,71

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Auto Rok Logo.gif"
"SubscribedURL"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Auto Rok Logo.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,c0,01,00,00,4f,00,00,00,80,00,00,00,76,00,00,00,ea,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,f0,00,00,00,3f,00,00,00,00,04,00,00,23,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,44,93,5f,05,00,00,00,40,b0,a6,5f,05,18,c3,\
76,71,40,26,71,71

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Björk Auge.gif"
"SubscribedURL"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Björk Auge.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,c0,01,00,00,e5,00,00,00,80,00,00,00,76,00,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,f0,01,00,00,35,01,00,00,7d,00,00,00,64,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,44,93,7e,02,00,00,00,40,b0,a6,7e,02,18,c3,\
76,71,40,26,71,71

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\3]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,01,00,00,1f,00,00,00,e0,00,00,00,d6,00,00,00,ee,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:00000001
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,10,03,00,00,1f,00,00,00,e0,00,00,00,d6,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

Contents of the 'Scheduled Tasks' folder

Completion time: So 06.08.2006 17:01:56,39
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

ComboFix.2006-08-06.170141.txt

System32.txt Datfindbat
06.08.2006 17:06 271.656 rrutv.ini
06.08.2006 16:45 16.384 Perflib_Perfdata_c18.dat
06.08.2006 16:45 16.384 Perflib_Perfdata_bf4.dat
06.08.2006 16:41 38.925 ssqrstq.dll
06.08.2006 16:36 16.384 Perflib_Perfdata_3c8.dat
06.08.2006 16:02 38.925 mljhfec.dll
06.08.2006 15:19 38.925 byxuvsq.dll
06.08.2006 12:43 38.925 hgggghg.dll
06.08.2006 12:10 38.925 ddcawwv.dll
06.08.2006 01:27 38.925 gebabbc.dll
06.08.2006 00:50 38.925 efcaawv.dll
05.08.2006 23:44 38.925 fccccaw.dll
05.08.2006 23:32 38.925 ljjjjhf.dll
05.08.2006 18:58 38.925 yayxxxv.dll
05.08.2006 12:59 38.925 qomjjjg.dll
05.08.2006 12:33 38.925 yayyvvt.dll
05.08.2006 07:01 268.918 rrutv.bak2
05.08.2006 06:02 38.925 opnnmlk.dll
05.08.2006 02:00 38.925 xxyxvvs.dll
05.08.2006 01:07 38.925 gebbywx.dll
05.08.2006 00:39 38.925 mljjjhh.dll
04.08.2006 23:41 38.925 fccyaaw.dll
04.08.2006 23:29 143 mcrh.tmp
04.08.2006 21:32 38.925 xxyaawx.dll
04.08.2006 19:00 267.990 rrutv.bak1
04.08.2006 19:00 573.492 vturr.dll
04.08.2006 18:54 38.925 jkkhijh.dll
03.08.2006 08:10 16.384 Perflib_Perfdata_678.dat
03.08.2006 08:10 16.384 Perflib_Perfdata_3a4.dat
03.08.2006 08:10 16.384 Perflib_Perfdata_5cc.dat
03.08.2006 00:35 16.384 Perflib_Perfdata_620.dat
01.08.2006 20:30 16.384 Perflib_Perfdata_738.dat
01.08.2006 20:30 16.384 Perflib_Perfdata_654.dat
01.08.2006 20:29 16.384 Perflib_Perfdata_67c.dat
01.08.2006 18:53 16.384 Perflib_Perfdata_790.dat
01.08.2006 18:53 16.384 Perflib_Perfdata_778.dat
01.08.2006 18:53 16.384 Perflib_Perfdata_694.dat
01.08.2006 18:53 16.384 Perflib_Perfdata_3a0.dat
01.08.2006 17:27 16.384 Perflib_Perfdata_1f8.dat
01.08.2006 17:27 16.384 Perflib_Perfdata_794.dat
01.08.2006 16:52 16.384 Perflib_Perfdata_72c.dat
01.08.2006 16:52 16.384 Perflib_Perfdata_650.dat
01.08.2006 16:51 16.384 Perflib_Perfdata_4d4.dat
01.08.2006 14:03 16.384 Perflib_Perfdata_2b8.dat
01.08.2006 14:03 16.384 Perflib_Perfdata_6a0.dat
25.07.2006 12:12 10.856 KGyGaAvL.sys
19.07.2006 20:56 184.224 FNTCACHE.DAT
07.07.2006 03:21 6.757.792 MRT.exe
01.07.2006 17:26 16.384 Perflib_Perfdata_780.dat
16.06.2006 09:06 16.384 Perflib_Perfdata_7f4.dat
16.06.2006 09:06 16.384 Perflib_Perfdata_7fc.dat
16.06.2006 09:06 16.384 Perflib_Perfdata_394.dat
11.06.2006 21:49 57.384 avsda.dll

temp.txt Datfindbat
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: EC26-F2A3

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

windows.txt Datfindbat
06.08.2006 16:44 31 LxTrans.INI
06.08.2006 16:35 1.273.211 WindowsUpdate.log
06.08.2006 16:33 32.594 SchedLgU.Txt
06.08.2006 16:33 641.672 ShellIconCache
06.08.2006 15:12 116.832 ntbtlog.txt
05.08.2006 11:45 686 LEXSTAT.INI
05.08.2006 11:42 41 crw.ini
04.08.2006 16:07 376 Atris_St.INI
04.08.2006 16:07 1.235 ODBC.INI
04.08.2006 15:53 754 WORDPAD.INI
01.08.2006 13:58 643.727 setupapi.log
01.08.2006 13:32 104.170 wdfmgr.exe
01.08.2006 00:48 436.466 wmsetup.log
31.07.2006 23:04 54.156 QTFont.qfn
31.07.2006 15:40 916 ULEAD32.INI
25.07.2006 16:04 18.892 MKDEMSG.LOG
25.07.2006 16:00 3.072 MKDEWE.TRN
25.07.2006 15:43 3.301 tm.ini
25.07.2006 14:19 142 msicpl.ini
19.07.2006 20:54 812.476 iis5.log
19.07.2006 20:54 1.429 imsins.log
19.07.2006 20:54 334.363 comsetup.log
19.07.2006 20:54 26.976 KB917537.log
19.07.2006 20:54 24.424 ockodak.log
19.07.2006 20:54 316.535 ocgen.log
12.07.2006 09:26 1.410 imsins.BAK
12.07.2006 09:26 16.240 KB917159.log
12.07.2006 09:26 16.658 KB914388.log
12.07.2006 09:26 65.593 updspapi.log
09.07.2006 14:14 664 setup.iss
09.07.2006 14:14 313 Atris_STG.INI
06.07.2006 11:01 4.267 ODBCINST.INI
06.07.2006 11:01 18.171 KB829558.log
28.06.2006 08:37 3.793 spupdsvc.log
27.06.2006 17:29 18.089 KB917953.log
27.06.2006 17:28 10.118 KB917734.log
27.06.2006 17:27 18.299 KB914389.log
27.06.2006 17:26 8.346 KB916281-IE6SP1-20060526.162249.log
27.06.2006 17:26 14.244 KB911280.log
27.06.2006 17:26 13.687 KB917736.log
10.06.2006 16:10 821 Sti_Trace.log
17.05.2006 10:09 1.409 QTFont.for
11.05.2006 09:15 18.240 KB913580.log

C.txt Datfindbat
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: EC26-F2A3

Verzeichnis von C:\

06.08.2006 17:10 0 sys.txt
06.08.2006 17:09 14.748 system.txt
06.08.2006 17:08 140 systemtemp.txt
06.08.2006 17:06 121.023 system32.txt
06.08.2006 17:01 12.857 ComboFix.txt
06.08.2006 16:40 183.587 pro3_install.exe
06.08.2006 16:34 760.217.600 pagefile.sys
06.08.2006 16:09 12.681 ComboFix.2006-08-06.170141.txt
25.07.2006 15:45 157 LxDasi.Log
07.11.2005 12:36 13.030 PDOXUSRS.NET
19.10.2005 10:57 545 os466477.bin
19.02.2005 10:02 216.096 ntldr
18.02.2005 23:05 4.562 WINDOWS
16.02.2005 19:45 0 CONFIG.SYS
16.02.2005 19:45 0 AUTOEXEC.BAT
16.02.2005 19:45 0 IO.SYS
16.02.2005 19:45 0 MSDOS.SYS
16.02.2005 19:42 192 boot.ini
19.06.2003 21:05 163.840 arcsetup.exe
19.06.2003 21:05 150.528 arcldr.exe
24.07.2002 14:00 34.724 NTDETECT.COM
21 Datei(en) 761.146.310 Bytes
0 Verzeichnis(se), 41.193.979.904 Bytes frei

Hoffe ihr könnt mir helfen!

Gruß

Toby

06.08.2006, 20:45

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Vundofix
http://virus-protect.org/artikel/tools/vundofixx.html
kopiere hier nach neustart den scanreport

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C372C16-C134-4A5F-9437-6C66FA3807C7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljhfec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxuvsq
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hgggghg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcawwv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebabbc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcaawv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccccaw
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjjjhf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayxxxv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomjjjg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayyvvt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnnmlk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxvvs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebbywx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljjjhh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccyaaw
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaawx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhijh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqrstq

Files to delete:

C:\WINNT\System32\Com\dreve.exe
C:\WINNT\wdfmgr.exe
C:\WINNT\system32\ssqrstq.dll
C:\WINNT\system32\rrutv.ini
C:\WINNT\system32\mljhfec.dll
C:\WINNT\system32\byxuvsq.dll
C:\WINNT\system32\hgggghg.dll
C:\WINNT\system32\ddcawwv.dll
C:\WINNT\system32\gebabbc.dll
C:\WINNT\system32\efcaawv.dll
C:\WINNT\system32\fccccaw.dll
C:\WINNT\system32\ljjjjhf.dll
C:\WINNT\system32\yayxxxv.dll
C:\WINNT\system32\qomjjjg.dll
C:\WINNT\system32\yayyvvt.dll
C:\WINNT\system32\rrutv.bak2
C:\WINNT\system32\opnnmlk.dll
C:\WINNT\system32\xxyxvvs.dll
C:\WINNT\system32\gebbywx.dll
C:\WINNT\system32\mljjjhh.dll
C:\WINNT\system32\fccyaaw.dll
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\xxyaawx.dll
C:\WINNT\system32\rrutv.bak1
C:\WINNT\system32\vturr.dll
C:\WINNT\system32\jkkhijh.dll
C:\WINNT\system32\hgggghg.dll
C:\pro3_install.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
kopiere hier das log vom Avenger, was nach neustart erscheint

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program

**
kopiere noch mal die 4 logs von datfindbat + combofix

**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINNT\System32\Com" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINNT\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

.............................................................................................

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft Windows Spool Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

06.08.2006, 22:20

onewinged

...neu hier

Themenstarter

Beiträge: 6

#3 Vundofix

Vundofix hat nichts gefunden, also nichts entfernt.

Avenger

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hyicihtn

*******************

Script file located at: \??\C:\nxujifqk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINNT\System32\Com\dreve.exe deleted successfully.
File C:\WINNT\wdfmgr.exe deleted successfully.
File C:\WINNT\system32\ssqrstq.dll deleted successfully.
File C:\WINNT\system32\rrutv.ini deleted successfully.
File C:\WINNT\system32\mljhfec.dll deleted successfully.
File C:\WINNT\system32\byxuvsq.dll deleted successfully.
File C:\WINNT\system32\hgggghg.dll deleted successfully.
File C:\WINNT\system32\ddcawwv.dll deleted successfully.
File C:\WINNT\system32\gebabbc.dll deleted successfully.
File C:\WINNT\system32\efcaawv.dll deleted successfully.
File C:\WINNT\system32\fccccaw.dll deleted successfully.
File C:\WINNT\system32\ljjjjhf.dll deleted successfully.
File C:\WINNT\system32\yayxxxv.dll deleted successfully.
File C:\WINNT\system32\qomjjjg.dll deleted successfully.
File C:\WINNT\system32\yayyvvt.dll deleted successfully.
File C:\WINNT\system32\rrutv.bak2 deleted successfully.
File C:\WINNT\system32\opnnmlk.dll deleted successfully.
File C:\WINNT\system32\xxyxvvs.dll deleted successfully.
File C:\WINNT\system32\gebbywx.dll deleted successfully.
File C:\WINNT\system32\mljjjhh.dll deleted successfully.
File C:\WINNT\system32\fccyaaw.dll deleted successfully.
File C:\WINNT\system32\mcrh.tmp deleted successfully.
File C:\WINNT\system32\xxyaawx.dll deleted successfully.
File C:\WINNT\system32\rrutv.bak1 deleted successfully.
File C:\WINNT\system32\vturr.dll deleted successfully.
File C:\WINNT\system32\jkkhijh.dll deleted successfully.

File C:\WINNT\system32\hgggghg.dll not found!
Deletion of file C:\WINNT\system32\hgggghg.dll failed!

Could not process line:
C:\WINNT\system32\hgggghg.dll
Status: 0xc0000034

File C:\pro3_install.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C372C16-C134-4A5F-9437-6C66FA3807C7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljhfec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljhfec failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxuvsq not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxuvsq failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hgggghg not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hgggghg failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcawwv not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcawwv failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebabbc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebabbc failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcaawv not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcaawv failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccccaw not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccccaw failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjjjhf not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjjjhf failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayxxxv not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayxxxv failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomjjjg not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomjjjg failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayyvvt not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayyvvt failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnnmlk not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnnmlk failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxvvs not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxvvs failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebbywx not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebbywx failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljjjhh not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljjjhh failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccyaaw not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccyaaw failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaawx deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturr deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhijh not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhijh failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqrstq not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqrstq failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////

*******************

Finished! Terminate.

Alle Dateien befinden sich jetzt in C:\Avenger, Antivir hat auch gleich nach Neustart in diesem Ordner wieder Dreve.exe gefunden.

Hoster.zip

falls das meine Host Datei fixed, die habe ich selber geändert, also hab ich das mal ausgelassen.

Datfind

Verzeichnis von C:\WINNT\system32

06.08.2006 21:55 16.384 Perflib_Perfdata_73c.dat
06.08.2006 21:55 16.384 Perflib_Perfdata_610.dat
06.08.2006 21:55 16.384 Perflib_Perfdata_398.dat
06.08.2006 20:05 38.925 tuvsssp.dll
03.08.2006 08:10 16.384 Perflib_Perfdata_678.dat
03.08.2006 08:10 16.384 Perflib_Perfdata_3a4.dat
03.08.2006 08:10 16.384 Perflib_Perfdata_5cc.dat
03.08.2006 00:35 16.384 Perflib_Perfdata_620.dat
01.08.2006 20:30 16.384 Perflib_Perfdata_738.dat
01.08.2006 20:30 16.384 Perflib_Perfdata_654.dat
01.08.2006 20:29 16.384 Perflib_Perfdata_67c.dat
01.08.2006 18:53 16.384 Perflib_Perfdata_790.dat
01.08.2006 18:53 16.384 Perflib_Perfdata_694.dat
01.08.2006 18:53 16.384 Perflib_Perfdata_3a0.dat
01.08.2006 17:27 16.384 Perflib_Perfdata_1f8.dat
01.08.2006 17:27 16.384 Perflib_Perfdata_794.dat
01.08.2006 16:52 16.384 Perflib_Perfdata_72c.dat
01.08.2006 16:52 16.384 Perflib_Perfdata_650.dat
01.08.2006 16:51 16.384 Perflib_Perfdata_4d4.dat
01.08.2006 14:03 16.384 Perflib_Perfdata_2b8.dat
01.08.2006 14:03 16.384 Perflib_Perfdata_6a0.dat
25.07.2006 12:12 10.856 KGyGaAvL.sys
19.07.2006 20:56 184.224 FNTCACHE.DAT
07.07.2006 03:21 6.757.792 MRT.exe
01.07.2006 17:26 16.384 Perflib_Perfdata_780.dat
16.06.2006 09:06 16.384 Perflib_Perfdata_7f4.dat
16.06.2006 09:06 16.384 Perflib_Perfdata_7fc.dat
16.06.2006 09:06 16.384 Perflib_Perfdata_394.dat
11.06.2006 21:49 57.384 avsda.dll
26.05.2006 15:49 1.339.904 SHDOCVW.DLL
19.05.2006 16:08 2.702.848 MSHTML.DLL
19.05.2006 11:18 68.880 IPHLPAPI.DLL
19.05.2006 11:18 136.976 dnsapi.dll
19.05.2006 11:18 90.384 DHCPCSVC.DLL
17.05.2006 11:43 465.864 jscript.dll
15.05.2006 11:14 161.040 rasmans.dll
11.05.2006 12:08 532.480 Radeon1600.scr
08.05.2006 12:30 463.360 URLMON.DLL
03.05.2006 08:57 291.840 sp3res.dll

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

06.08.2006 22:04 406 jusched.log
06.08.2006 21:59 49.152 MMC3.tmp
03.06.2005 00:45 768.272 np11.tmp
03.06.2005 00:45 768.272 np10.tmp
03.06.2005 00:45 768.272 np14.tmp
03.06.2005 00:45 768.272 npD.tmp
03.06.2005 00:44 420.112 np15.tmp
03.06.2005 00:44 401.680 np16.tmp
03.06.2005 00:44 420.112 np12.tmp
03.06.2005 00:44 420.112 npE.tmp
03.06.2005 00:44 401.680 npF.tmp
03.06.2005 00:44 401.680 np13.tmp
12 Datei(en) 5.588.022 Bytes
0 Verzeichnis(se), 41.160.863.744 Bytes frei

Verzeichnis von C:\WINNT

06.08.2006 21:55 31 LxTrans.INI
06.08.2006 21:54 1.278.692 WindowsUpdate.log
06.08.2006 21:53 32.594 SchedLgU.Txt
06.08.2006 21:42 742.770 ShellIconCache
06.08.2006 15:12 116.832 ntbtlog.txt
05.08.2006 11:45 686 LEXSTAT.INI
05.08.2006 11:42 41 crw.ini
04.08.2006 16:07 376 Atris_St.INI
04.08.2006 16:07 1.235 ODBC.INI
04.08.2006 15:53 754 WORDPAD.INI
01.08.2006 13:58 643.727 setupapi.log
01.08.2006 00:48 436.466 wmsetup.log
31.07.2006 23:04 54.156 QTFont.qfn
31.07.2006 15:40 916 ULEAD32.INI
25.07.2006 16:04 18.892 MKDEMSG.LOG
25.07.2006 16:00 3.072 MKDEWE.TRN
25.07.2006 15:43 3.301 tm.ini
25.07.2006 14:19 142 msicpl.ini
19.07.2006 20:54 812.476 iis5.log
19.07.2006 20:54 1.429 imsins.log
19.07.2006 20:54 334.363 comsetup.log
19.07.2006 20:54 26.976 KB917537.log
19.07.2006 20:54 316.535 ocgen.log
19.07.2006 20:54 24.424 ockodak.log
12.07.2006 09:26 1.410 imsins.BAK
12.07.2006 09:26 16.240 KB917159.log
12.07.2006 09:26 16.658 KB914388.log
12.07.2006 09:26 65.593 updspapi.log
09.07.2006 14:14 664 setup.iss
09.07.2006 14:14 313 Atris_STG.INI
06.07.2006 11:01 4.267 ODBCINST.INI
06.07.2006 11:01 18.171 KB829558.log
28.06.2006 08:37 3.793 spupdsvc.log
27.06.2006 17:29 18.089 KB917953.log
27.06.2006 17:28 10.118 KB917734.log
27.06.2006 17:27 18.299 KB914389.log
27.06.2006 17:26 8.346 KB916281-IE6SP1-20060526.162249.log
27.06.2006 17:26 14.244 KB911280.log
27.06.2006 17:26 13.687 KB917736.log
10.06.2006 16:10 821 Sti_Trace.log
17.05.2006 10:09 1.409 QTFont.for
11.05.2006 09:15 18.240 KB913580.log

Verzeichnis von C:\

06.08.2006 22:10 0 sys.txt
06.08.2006 22:09 14.697 system.txt
06.08.2006 22:09 839 systemtemp.txt
06.08.2006 22:08 119.771 system32.txt
06.08.2006 21:58 582 VundoFix.txt
06.08.2006 21:54 38.588 avenger.txt
06.08.2006 21:54 760.217.600 pagefile.sys
06.08.2006 21:53 1.078 dugwsbqo.bat
06.08.2006 21:52 5.698 avexport.bat
06.08.2006 21:51 1.078 mdknhjno.bat
06.08.2006 21:51 126.976 zip.exe
06.08.2006 17:01 12.857 ComboFix.txt
06.08.2006 16:09 12.681 ComboFix.2006-08-06.170141.txt
25.07.2006 15:45 157 LxDasi.Log
07.11.2005 12:36 13.030 PDOXUSRS.NET
19.10.2005 10:57 545 os466477.bin
19.02.2005 10:02 216.096 ntldr
18.02.2005 23:05 4.562 WINDOWS
16.02.2005 19:45 0 AUTOEXEC.BAT
16.02.2005 19:45 0 CONFIG.SYS
16.02.2005 19:45 0 IO.SYS
16.02.2005 19:45 0 MSDOS.SYS
16.02.2005 19:42 192 boot.ini
19.06.2003 21:05 150.528 arcldr.exe
19.06.2003 21:05 163.840 arcsetup.exe
24.07.2002 14:00 34.724 NTDETECT.COM
26 Datei(en) 761.136.119 Bytes

ComboFix

Start Time= So 06.08.2006 22:11:19,51
Running from: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-08-06 21:55:36 ( .D... ) "C:\Programme\Mozilla Firefox"
2006-08-06 21:53:04 1078 ( A.... ) "C:\dugwsbqo.bat"
2006-08-06 21:52:56 5698 ( A.... ) "C:\avexport.bat"
2006-08-06 21:51:46 126976 ( A.... ) "C:\zip.exe"
2006-08-06 21:51:46 1078 ( A.... ) "C:\mdknhjno.bat"
2006-08-06 20:05:02 38925 ( ..SH. ) "C:\WINNT\system32\tuvsssp.dll"
2006-08-06 16:05:20 ( .D... ) "C:\Programme\CleanUp!"
2006-08-06 12:50:00 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-08-06 12:35:02 ( .D.H. ) "C:\Programme\InstallShield Installation Information"
2006-08-06 12:34:30 ( .D... ) "C:\Programme\eBay"
2006-08-06 12:32:58 ( .D... ) "C:\Programme\ICQLite"
2006-08-05 21:37:50 ( .D... ) "C:\Programme\Fire Magic"
2006-08-05 11:14:38 ( .D... ) "C:\Programme\IHLE Software"
2006-08-04 23:42:06 ( .D... ) "C:\Programme\Winamp"
2006-08-04 23:15:40 ( .D... ) "C:\Programme\Lineage2"
2006-08-02 12:16:02 ( .D... ) "C:\Programme\eMule"
2006-07-27 09:47:32 ( .D... ) "C:\Programme\Google"
2006-07-27 09:45:20 ( .D... ) "C:\Programme\UseNeXT"
2006-07-25 12:12:28 10856 ( A.SH. ) "C:\WINNT\system32\KGyGaAvL.sys"
2006-07-25 12:12:28 10856 ( A.SH. ) "C:\WINNT\system32\KGyGaAvL.sys"
2006-07-22 18:21:02 ( .D... ) "C:\Programme\World of Warcraft"
2006-07-10 12:09:18 ( AD... ) "C:\Programme\Gemeinsame Dateien"
2006-07-10 12:09:18 ( .D... ) "C:\Programme\Gemeinsame Dateien\Xuisoft"
2006-07-10 12:08:40 ( .D... ) "C:\Programme\GifCreator"
2006-07-06 14:13:14 ( .D... ) "C:\Programme\Visions"
2006-07-06 11:03:06 ( .D... ) "C:\Programme\Lexware"
2006-07-06 11:00:50 ( .D... ) "C:\Programme\Personalakte"
2006-07-06 11:00:50 ( .D... ) "C:\Programme\PersMan"
2006-07-03 10:05:38 ( .D... ) "C:\Programme\GWFreaks"
2006-07-03 10:05:04 ( .D... ) "C:\Programme\Oberon Media"
2006-07-01 17:34:24 ( .D... ) "C:\Programme\Ideazon"
2006-07-01 16:53:10 ( .D... ) "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ideazon"
2006-06-11 21:49:22 57384 ( A.... ) "C:\WINNT\system32\avsda.dll"
2006-05-19 11:18:12 136976 ( A.... ) "C:\WINNT\system32\dnsapi.dll"
2006-05-19 11:18:12 90384 ( A.... ) "C:\WINNT\system32\DHCPCSVC.DLL"
2006-05-19 11:18:12 68880 ( A.... ) "C:\WINNT\system32\IPHLPAPI.DLL"
2006-05-11 12:08:04 532480 ( A.... ) "C:\WINNT\system32\Radeon1600.scr"
2005-02-16 19:44:52 22080 ( ...H. ) "C:\Programme\folder.htt"
2005-02-16 19:44:52 271 ( ...H. ) "C:\Programme\desktop.ini"

(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))

2006-08-06 21:53 1.078 C:\dugwsbqo.bat
2006-08-06 21:51 5.698 C:\avexport.bat
2006-08-06 21:51 126.976 C:\zip.exe
2006-08-06 21:51 1.078 C:\mdknhjno.bat
2006-08-06 20:05 38.925 C:\WINNT\system32\tuvsssp.dll
2006-08-01 15:45 4.682 C:\WINNT\system32\npptNT2.sys
2006-07-25 12:12 10.856 C:\WINNT\system32\KGyGaAvL.sys
2006-07-06 10:59 2.969.960 C:\WINNT\system32\Windows2000-KB829558-x86-DEU.exe
2006-07-01 17:34 49.152 C:\WINNT\system32\Winlognotif.dll
2006-07-01 16:46 19.728 C:\WINNT\system32\hidserv.exe

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"SoundMan"="SOUNDMAN.EXE"
"Share-to-Web Namespace Daemon"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"TrueImageMonitor.exe"="C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"Lexmark X74-X75"="\"C:\\Programme\\Lexmark X74-X75\\lxbbbmgr.exe\""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"TransferManager"="C:\\PROGRA~1\\GEMEIN~1\\Lexware\\INTERN~1\\LxTrans.exe /Embedding"
"hsopndud"="C:\\dugwsbqo.bat"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"ZboardTray"="\"C:\\Programme\\Ideazon\\Zboard Software\\Driver\\ZboardTray.exe\" /autolaunch"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000002

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Ragnaros.gif"
"SubscribedURL"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Ragnaros.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,c7,01,00,00,29,00,00,00,82,02,00,00,e0,02,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,f0,01,00,00,3f,00,00,00,2f,02,00,00,89,02,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,44,93,a5,03,00,00,00,40,b0,a6,a5,03,18,c3,\
76,71,40,26,71,71

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Auto Rok Logo.gif"
"SubscribedURL"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Auto Rok Logo.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,c0,01,00,00,4f,00,00,00,80,00,00,00,76,00,00,00,ea,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,f0,00,00,00,3f,00,00,00,00,04,00,00,23,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,44,93,5f,05,00,00,00,40,b0,a6,5f,05,18,c3,\
76,71,40,26,71,71

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Björk Auge.gif"
"SubscribedURL"="C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Björk Auge.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,c0,01,00,00,e5,00,00,00,80,00,00,00,76,00,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,f0,01,00,00,35,01,00,00,7d,00,00,00,64,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,44,93,7e,02,00,00,00,40,b0,a6,7e,02,18,c3,\
76,71,40,26,71,71

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\3]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,01,00,00,1f,00,00,00,e0,00,00,00,d6,00,00,00,ee,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:00000001
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,10,03,00,00,1f,00,00,00,e0,00,00,00,d6,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

Contents of the 'Scheduled Tasks' folder

Completion time: So 06.08.2006 22:12:06,40
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

ComboFix.2006-08-06.170141.txt
ComboFix.2006-08-06.221119.txt

Listen.bat

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: EC26-F2A3

Verzeichnis von C:\WINNT\System32\Com

06.08.2006 21:53 <DIR> .
06.08.2006 21:53 <DIR> ..
05.09.2005 10:18 197.904 comadmin.dll
22.07.2002 13:05 61.440 comempty.dat
04.10.2000 14:00 29.184 comexp.msc
04.10.2000 14:00 10.512 comrepl.exe
04.10.2000 14:00 5.392 comrereg.exe
12.07.2006 23:59 94 install.bat
04.10.2000 14:00 19.968 mtsadmin.tlb
11.07.2006 14:50 47.629 rasmed.exe
8 Datei(en) 372.123 Bytes
2 Verzeichnis(se), 41.166.647.296 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: EC26-F2A3

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

06.08.2006 22:12 <DIR> .
06.08.2006 22:12 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 41.166.643.200 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: EC26-F2A3

Verzeichnis von C:\WINNT\Temp

06.08.2006 22:12 <DIR> .
06.08.2006 22:12 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 41.166.643.200 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: EC26-F2A3

Verzeichnis von C:\Temp

06.08.2006 16:33 <DIR> .
06.08.2006 16:33 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 41.166.643.200 Bytes frei

Regsearch

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 06.08.2006 22:16:54 for strings:
; 'microsoft windows spool service '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

So das wars, kann ich die Dateien in C:\Avenger löschen?[/b]

06.08.2006, 23:41

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Avenger

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvsssp

Files to delete:

C:\dugwsbqo.bat
C:\avexport.bat
C:\zip.exe
C:\mdknhjno.bat
C:\WINNT\system32\tuvsssp.dll

+++
das ist ein Trojanerdienst...
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINNT\wdfmgr.exe

kopiere in Search by Bobbi Flekman

wdfmgr.exe
Windows Spool Service
Microsoft Windows Spool Service

und poste, was du findest

-------------
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINNT\System32\Com\dreve.exe
C:\WINNT\System32\Com\rasmed.exe
C:\WINNT\System32\Com\comadmin.dll
C:\WINNT\System32\Com\comempty.dat
C:\WINNT\System32\Com\comexp.msc
C:\WINNT\System32\Com\comrepl.exe
C:\WINNT\System32\Com\comrereg.exe
C:\WINNT\System32\Com\install.bat
C:\WINNT\System32\Com\mtsadmin.tlb

poste die reporte

«
__________
MfG Sabina

rund um die PC-Sicherheit

07.08.2006, 10:14

onewinged

...neu hier

Themenstarter

Beiträge: 6

#5 Avenger
----------------
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vsumkvdf

*******************

Script file located at: \??\C:\xobseitv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\dugwsbqo.bat deleted successfully.
File C:\avexport.bat deleted successfully.
File C:\zip.exe deleted successfully.
File C:\mdknhjno.bat deleted successfully.
File C:\WINNT\system32\tuvsssp.dll deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvsssp not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvsssp failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.
-----------------------------------------------

Search hat ergeben

--------------------------
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 07.08.2006 09:38:32 for strings:
; 'wdfmgr.exe'
; 'windows spool service'
; 'microsoft windows spool service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"Service"="Windows Spool Service"
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service]
; Contents of value:
; "c:\winnt\wdfmgr.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,77,64,66,6d,67,72,2e,65,78,65,\
22,00
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"Service"="Windows Spool Service"
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service]
; Contents of value:
; "c:\winnt\wdfmgr.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,77,64,66,6d,67,72,2e,65,78,65,\
22,00
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"Service"="Windows Spool Service"
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service]
; Contents of value:
; "c:\winnt\wdfmgr.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,77,64,66,6d,67,72,2e,65,78,65,\
22,00
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service\Enum]

; End Of The Log...
--------------------------------------------------------------------

Virustotal
----------------
rasmed.exe

Complete scanning result of "rasmed.exe", received in VirusTotal at 08.07.2006, 09:45:41 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.07.2006 ADSPY/Virtumonde.B
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.07.2006 Trojan.Downloader.Adload.DF
CAT-QuickHeal 8.00 08.07.2006 AdWare.Virtumonde.by (Not a Virus)
ClamAV devel-20060426 08.06.2006 no virus found
DrWeb 4.33 08.07.2006 Trojan.Virtumod
eTrust-InoculateIT 23.72.88 08.06.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 Win32/Chisyne!generic
Ewido 4.0 08.06.2006 Adware.Virtumonde
Fortinet 2.77.0.0 08.07.2006 Vundo!tr!014
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.07.2006 no virus found
Kaspersky 4.0.2.24 08.07.2006 not-a-virus:AdWare.Win32.Virtumonde.by
McAfee 4822 08.04.2006 Vundo
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 a variant of Win32/TrojanDownloader.ConHook
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.06.2006 Spyware/Virtumonde
Sophos 4.08.0 08.06.2006 no virus found
Symantec 8.0 08.07.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.04.2006 Adware.Virtumonde.113C
VBA32 3.11.0 08.06.2006 Trojan.Virtumod
VirusBuster 4.3.7:9 08.06.2006 no virus found

Aditional Information
File size: 47629 bytes
MD5: 0d008df69d73c43652ab8f0423e26573
SHA1: ba3e44668039ca18585d3f6d588f6f9a3df702f9
-------
comadmin.dll

no virus found

Aditional Information
File size: 197904 bytes
MD5: 2833a44e397f987fc189e0c95591c14a
SHA1: 285fec763b8781a54e5c53164c4dd1c677183ed0
-------
comempty.dat

no virus found

Aditional Information
File size: 61440 bytes
MD5: e9e3d497b02f82c49200cc75522ee174
SHA1: 8d2180e415c95369a261b40317b4df2a4a46b88d
-------
comexp.msc

no virus fond

Aditional Information
File size: 29184 bytes
MD5: 1b36ff73d62576c45c5743693be85431
SHA1: 4671936223f47649bf431db5908d0052d9b318d2
-------
comrepl.exe

no virus found

Aditional Information
File size: 10512 bytes
MD5: 50d12ce7c7c68ad7ac866fe0acaa0fad
SHA1: 817b3f84edfbaacef32fb444f6af7ba92a89c0c3
packers: embedded
-------
comrereg.exe

no virus found

Aditional Information
File size: 5392 bytes
MD5: baeeaf535011cced457365800d947781
SHA1: 0d0da1d729cc4c1609408dd568821981ea5a3c77
-------
install.bat

no virus found

Aditional Information
File size: 94 bytes
MD5: 807806d119a188431bc965690f9abefc
SHA1: 99fcee611e538992110d6212444410d141833589
-------
mtsadmin.tlb

no virus found

Aditional Information
File size: 19968 bytes
MD5: 350fe0a5f9ecd17db3416f9c0835b81f
SHA1: a8c25e45bd1237a7644c8cc02d6376752350d6fb
packers: embedded
-------
die Datei dreve.exe ist nicht mehr da.

[/b]

07.08.2006, 13:27

Sabina

Ehrenmitglied

Beiträge: 29434

#6 Avenger

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service

Files to delete:
C:\WINNT\System32\Com\rasmed.exe
C:\WINNT\System32\Com\install.bat

poste den report

**
loesche alle backups vom avenger

**
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

07.08.2006, 17:14

onewinged

...neu hier

Themenstarter

Beiträge: 6

#7 Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fdcccqjl

*******************

Script file located at: \??\C:\Program Files\cnqmgqbq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service
Status: 0xc0000034

File C:\WINNT\System32\Com\rasmed.exe deleted successfully.
File C:\WINNT\System32\Com\install.bat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Cureit

Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-08-07, 16:12:18 [OFFICE2][Administrator]
Kommandozeile: "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows 2000 Professional x86 (Build 2195), Service Pack 4
=============================================================================
Suchmodul Version: 4.33 (4.33.4.07270)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 20 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43347.cdb - 707 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43346.cdb - 1429 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43345.cdb - 1358 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43344.cdb - 694 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43343.cdb - 1186 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43342.cdb - 744 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43341.cdb - 841 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 197 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 667 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 773 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 134038
Lizenzschlüssel: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

[Prüfpfad] C:\WINNT\System32\smss.exe
[Prüfpfad] C:\WINNT\system32\csrss.exe
[Prüfpfad] C:\WINNT\system32\winlogon.exe
[Prüfpfad] C:\WINNT\system32\services.exe
[Prüfpfad] C:\WINNT\system32\lsass.exe
[Prüfpfad] C:\WINNT\system32\Ati2evxx.exe
[Prüfpfad] C:\WINNT\system32\svchost.exe
[Prüfpfad] C:\WINNT\system32\LEXBCES.EXE
[Prüfpfad] C:\WINNT\system32\spoolsv.exe
[Prüfpfad] C:\WINNT\system32\LEXPPS.EXE
[Prüfpfad] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
[Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\sched.exe
[Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
[Prüfpfad] C:\WINNT\system32\hidserv.exe
[Prüfpfad] C:\WINNT\system32\MSTask.exe
[Prüfpfad] C:\WINNT\system32\stisvc.exe
[Prüfpfad] C:\WINNT\System32\WBEM\WinMgmt.exe
[Prüfpfad] C:\WINNT\Explorer.EXE
[Prüfpfad] C:\Programme\Ideazon\Zboard Software\Driver\ZboardTray.exe
[Prüfpfad] C:\WINNT\SOUNDMAN.EXE
[Prüfpfad] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
[Prüfpfad] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[Prüfpfad] C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
[Prüfpfad] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
[Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
[Prüfpfad] C:\Programme\Ideazon\Zboard Software\Driver\Zboard.exe
[Prüfpfad] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
[Prüfpfad] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
[Prüfpfad] C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
[Prüfpfad] C:\Programme\ATI Technologies\ATI.ACE\cli.exe
[Prüfpfad] C:\Programme\Lexmark X74-X75\lxbbbmon.exe
[Prüfpfad] C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe
[Prüfpfad] C:\Programme\ICQLite\ICQLite.exe
[Prüfpfad] C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\drweb-cureit.exe
[Prüfpfad] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\_start.exe
[Prüfpfad] C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
[Prüfpfad] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cureit.exe
[Prüfpfad] C:\WINNT\system32\mobsync.exe
[Prüfpfad] C:\Programme\QuickTime\qttask.exe
[Prüfpfad] c:\progra~1\gemein~1\lexware\intern~1\lxtrans.exe
[Prüfpfad] c:\programme\icqlite\icqlite.exe
[Prüfpfad] C:\WINNT\system32\internat.exe
[Prüfpfad] c:\programme\internet explorer\connection wizard\icwconn1.exe
[Prüfpfad] C:\WINNT\system32\mmsys.cpl
[Prüfpfad] C:\WINNT\system32\icmui.dll
[Prüfpfad] C:\WINNT\system32\rshx32.dll
[Prüfpfad] C:\WINNT\system32\docprop.dll
[Prüfpfad] C:\WINNT\system32\ntshrui.dll
[Prüfpfad] C:\WINNT\system32\plustab.dll
[Prüfpfad] C:\WINNT\system32\deskadp.dll
[Prüfpfad] C:\WINNT\system32\deskmon.dll
[Prüfpfad] C:\WINNT\system32\dssec.dll
[Prüfpfad] C:\WINNT\system32\shscrap.dll
[Prüfpfad] C:\WINNT\system32\diskcopy.dll
[Prüfpfad] C:\WINNT\system32\ntlanui2.dll
[Prüfpfad] C:\WINNT\system32\printui.dll
[Prüfpfad] C:\WINNT\system32\dskquoui.dll
[Prüfpfad] C:\WINNT\system32\syncui.dll
[Prüfpfad] C:\WINNT\System32\hticons.dll
[Prüfpfad] C:\WINNT\system32\fontext.dll
[Prüfpfad] C:\WINNT\system32\deskperf.dll
[Prüfpfad] C:\WINNT\system32\wshext.dll
[Prüfpfad] C:\WINNT\system32\cryptext.dll
[Prüfpfad] C:\WINNT\system32\NETSHELL.dll
[Prüfpfad] C:\WINNT\system32\shdocvw.dll
[Prüfpfad] C:\WINNT\System32\mstask.dll
[Prüfpfad] C:\WINNT\system32\shell32.dll
[Prüfpfad] C:\WINNT\system32\browseui.dll
[Prüfpfad] C:\WINNT\system32\sendmail.dll
[Prüfpfad] C:\WINNT\system32\occache.dll
[Prüfpfad] C:\WINNT\system32\webcheck.dll
[Prüfpfad] C:\WINNT\System32\thumbvw.dll
[Prüfpfad] C:\WINNT\System32\appwiz.cpl
[Prüfpfad] C:\WINNT\system32\dsfolder.dll
[Prüfpfad] C:\WINNT\system32\dsquery.dll
[Prüfpfad] C:\WINNT\system32\dsuiext.dll
[Prüfpfad] C:\WINNT\system32\mydocs.dll
[Prüfpfad] C:\WINNT\system32\cscui.dll
[Prüfpfad] C:\WINNT\system32\mmcshext.dll
[Prüfpfad] C:\WINNT\system32\cabview.dll
[Prüfpfad] C:\Programme\WinRAR\rarext.dll
[Prüfpfad] C:\Programme\Gemeinsame Dateien\System\OLE DB\oledb32.dll
[Prüfpfad] C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL
[Prüfpfad] C:\PROGRA~1\IPS\IPSCMH.DLL
[Prüfpfad] C:\WINNT\system32\mscoree.dll
[Prüfpfad] C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
[Prüfpfad] C:\Programme\Microsoft Office\Office10\msohev.dll
[Prüfpfad] C:\WINNT\system32\cdfview.dll
[Prüfpfad] C:\Programme\Outlook Express\wabfind.dll
[Prüfpfad] C:\Programme\Real\RealPlayer\rpshell.dll
[Prüfpfad] C:\Programme\ICQLite\ICQLiteShell.dll
[Prüfpfad] C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
[Prüfpfad] C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
[Prüfpfad] C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
[Prüfpfad] C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
[Prüfpfad] c:\programme\google\googletoolbar1.dll
[Prüfpfad] C:\WINNT\system32\stobject.dll
[Prüfpfad] C:\WINNT\system32\Ati2evxx.dll
[Prüfpfad] C:\WINNT\system32\crypt32.dll
[Prüfpfad] C:\WINNT\system32\cryptnet.dll
[Prüfpfad] C:\WINNT\system32\cscdll.dll
[Prüfpfad] C:\WINNT\system32\sclgntfy.dll
[Prüfpfad] C:\WINNT\system32\WlNotify.dll
[Prüfpfad] C:\WINNT\system32\wzcdlg.dll
[Prüfpfad] C:\WINNT\system32\Winlognotif.dll
[Prüfpfad] C:\WINNT\System32\DRIVERS\ACPI.sys
[Prüfpfad] C:\WINNT\System32\drivers\afd.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\agp440.sys
[Prüfpfad] C:\WINNT\system32\drivers\ALCXWDM.SYS
[Prüfpfad] C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\asyncmac.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\atapi.sys
[Prüfpfad] C:\WINNT\system32\ati2sgag.exe
[Prüfpfad] C:\WINNT\system32\DRIVERS\ati2mtag.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\atmarpc.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\audstub.sys
[Prüfpfad] C:\WINNT\SYSTEM32\DRIVERS\avgntdd.sys
[Prüfpfad] C:\WINNT\SYSTEM32\drivers\avgntmgr.sys
[Prüfpfad] c:\winnt\system32\svchost.exe
[Prüfpfad] C:\WINNT\system32\DRIVERS\CCDECODE.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\cdrom.sys
[Prüfpfad] C:\WINNT\System32\cisvc.exe
[Prüfpfad] C:\WINNT\system32\clipsrv.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\disk.sys
[Prüfpfad] c:\winnt\system32\dmadmin.exe
[Prüfpfad] C:\WINNT\System32\drivers\dmboot.sys
[Prüfpfad] C:\WINNT\System32\drivers\dmio.sys
[Prüfpfad] C:\WINNT\System32\drivers\dmload.sys
[Prüfpfad] C:\WINNT\system32\drivers\DMusic.sys
[Prüfpfad] C:\WINNT\system32\faxsvc.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\fdc.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\flpydisk.sys
[Prüfpfad] C:\WINNT\system32\drivers\fltmgr.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ftdisk.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\gameenum.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\msgpc.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\hidusb.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\i8042prt.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ipfltdrv.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ipinip.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ipnat.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ipsec.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\irenum.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\isapnp.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\kbdclass.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\kbdhid.sys
[Prüfpfad] C:\WINNT\system32\drivers\kmixer.sys
[Prüfpfad] C:\WINNT\System32\mnmsrvc.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\mouclass.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\MPE.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\mrxsmb.sys
[Prüfpfad] C:\WINNT\System32\msdtc.exe
[Prüfpfad] c:\winnt\system32\msiexec.exe
[Prüfpfad] C:\WINNT\system32\drivers\MSKSSRV.sys
[Prüfpfad] C:\WINNT\system32\drivers\MSPCLOCK.sys
[Prüfpfad] C:\WINNT\system32\drivers\MSPQM.sys
[Prüfpfad] C:\WINNT\system32\drivers\MSTEE.sys
[Prüfpfad] C:\WINNT\system32\drivers\msmpu401.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\NABTSFEC.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ndistapi.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\ndisuio.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ndiswan.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\netbios.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\netbt.sys
[Prüfpfad] C:\WINNT\system32\netdde.exe
[Prüfpfad] C:\WINNT\system32\drivers\netdtect.sys
[Prüfpfad] C:\Programme\Lineage2\system\npkcrypt.sys
[Prüfpfad] C:\Programme\Lineage2\system\npkcusb.sys
[Prüfpfad] C:\WINNT\system32\npptNT2.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\nwlnkflt.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\nwlnkfwd.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\OmniDrv.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\OmniUsb.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\OmniUsbl.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\parallel.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\parport.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\pci.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\pciide.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\raspptp.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\ptilink.sys
[Prüfpfad] C:\WINNT\System32\Drivers\PxHelp20.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\rasacd.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\rasl2tp.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\raspti.sys
[Prüfpfad] C:\WINNT\system32\drivers\RCA.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\rdbss.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\redbook.sys
[Prüfpfad] C:\WINNT\system32\regsvc.exe
[Prüfpfad] C:\WINNT\System32\locator.exe
[Prüfpfad] c:\winnt\system32\rsvp.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\R8139n5.SYS
[Prüfpfad] C:\WINNT\System32\SCardSvr.exe
[Prüfpfad] C:\WINNT\system32\drivers\SECDRV.SYS
[Prüfpfad] C:\WINNT\System32\DRIVERS\serenum.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\Seri*hier nicht!*.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\SLIP.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\snapman.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\srv.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\StreamIP.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\swenum.sys
[Prüfpfad] C:\WINNT\system32\drivers\swmidi.sys
[Prüfpfad] C:\WINNT\system32\drivers\sysaudio.sys
[Prüfpfad] C:\WINNT\system32\smlogsvc.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\tcpip.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\tifsfilt.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\timntr.sys
[Prüfpfad] C:\WINNT\system32\tlntsvr.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\uhcd.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\update.sys
[Prüfpfad] C:\WINNT\System32\ups.exe
[Prüfpfad] C:\WINNT\System32\DRIVERS\usbehci.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\usbhub.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\usbhub20.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\usbprint.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\usbscan.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\USBSTOR.SYS
[Prüfpfad] C:\WINNT\System32\UtilMan.exe
[Prüfpfad] C:\WINNT\System32\drivers\vga.sys
[Prüfpfad] C:\WINNT\System32\DRIVERS\wanarp.sys
[Prüfpfad] C:\WINNT\system32\drivers\wdmaud.sys
[Prüfpfad] C:\WINNT\system32\DRIVERS\WSTCODEC.SYS
[Prüfpfad] C:\WINNT\system32\ntsd.exe
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 224
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 3147 Kb/s
Dauer:: 00:00:15
-----------------------------------------------------------------------------

[Prüfpfad] C:\
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Administrator\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\10vlj7wg.default\PARENT~1.LOC - Lesefehler
>C:\Dokumente und Einstellungen\Administrator\Desktop\System\Systemtools\hijackthis\backups\backup-20060806-123619-419.dll infiziert mit Trojan.Virtumod - gelöscht
>C:\Dokumente und Einstellungen\Administrator\Desktop\System\Systemtools\hijackthis\backups\backup-20060806-163938-579.dll infiziert mit Trojan.Virtumod - gelöscht
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>>C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0EMS0N0F\pro[1].exe\data001 infiziert mit Trojan.Virtumod
>>>C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0EMS0N0F\pro[1].exe\data002 infiziert mit Trojan.Virtumod
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0EMS0N0F\pro[1].exe - Archiv enthält infizierte Objekte - verschoben
>>C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0EMS0N0F\pro[2].exe\data001 infiziert mit Trojan.Virtumod
>>>C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0EMS0N0F\pro[2].exe\data002 infiziert mit Trojan.Virtumod
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0EMS0N0F\pro[2].exe - Archiv enthält infizierte Objekte - verschoben
>C:\Programme\Fire Magic\patch_fm25.exe ist ein Hacktool Tool.ASEye.2
>C:\Programme\WinRAR\Dos.SFXC:\WINNT\system32\PEBCE8~1.DAT - Lesefehler
C:\WINNT\system32\PEC4E6~1.DAT - Lesefehler
C:\WINNT\system32\PEB0E0~1.DAT - Lesefehler
C:\WINNT\system32\PED0E0~1.DAT - Lesefehler
C:\WINNT\system32\config\default - Lesefehler
C:\WINNT\system32\config\default.LOG - Lesefehler
C:\WINNT\system32\config\SAM - Lesefehler
C:\WINNT\system32\config\SAM.LOG - Lesefehler
C:\WINNT\system32\config\SECURITY - Lesefehler
C:\WINNT\system32\config\SECURITY.LOG - Lesefehler
C:\WINNT\system32\config\software - Lesefehler
C:\WINNT\system32\config\software.LOG - Lesefehler
C:\WINNT\system32\config\system - Lesefehler
C:\WINNT\system32\config\SYSTEM.ALT - Lesefehler

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 114288
Infizierte Objekte gefunden: 6
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 2
Umbenannte Objekte: 0
Verschobene Objekte: 2
Ignorierte Objekte: 0
Leistung:: 856 Kb/s
Dauer:: 00:47:18
-----------------------------------------------------------------------------

07.08.2006, 17:18

Sabina

Ehrenmitglied

Beiträge: 29434

#8 poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

07.08.2006, 17:22

onewinged

...neu hier

Themenstarter

Beiträge: 6

#9 Logfile of HijackThis v1.99.1
Scan saved at 17:20:29, on 07.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ideazon\Zboard Software\Driver\ZboardTray.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ideazon\Zboard Software\Driver\Zboard.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\drweb-cureit.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\_start.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cureit.exe
C:\WINNT\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\System\Systemtools\hijackthis\prufung.com.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: 85.25.2.55 gotoplay
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C372C16-C134-4A5F-9437-6C66FA3807C7} - (no file)
O2 - BHO: (no name) - {6BFAEF2D-00A1-457C-AFF9-046B01D01C5F} - C:\WINNT\system32\vturr.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\xxyaawx.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TransferManager] C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe /Embedding
O4 - HKLM\..\Run: [hsopndud] C:\dugwsbqo.bat
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: vturr - C:\WINNT\
O20 - Winlogon Notify: xxyaawx - C:\WINNT\
O20 - Winlogon Notify: Zboard - C:\WINNT\SYSTEM32\Winlognotif.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE

07.08.2006, 17:34

Sabina

Ehrenmitglied

Beiträge: 29434

#10 öffne das HijackThis -- Button "scan" -- Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: 85.25.2.55 gotoplay ->>> ?????
O2 - BHO: (no name) - {5C372C16-C134-4A5F-9437-6C66FA3807C7} - (no file)
O2 - BHO: (no name) - {6BFAEF2D-00A1-457C-AFF9-046B01D01C5F} - C:\WINNT\system32\vturr.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\xxyaawx.dll (file missing)

O4 - HKLM\..\Run: [hsopndud] C:\dugwsbqo.bat

O20 - Winlogon Notify: vturr - C:\WINNT\
O20 - Winlogon Notify: xxyaawx - C:\WINNT\

**
scanne mit deinem Antivirus UND mit dr.web im abgesicherten modus und berichte (loesche vorher alle backups vom avenger)
__________
MfG Sabina

rund um die PC-Sicherheit

08.08.2006, 09:28

onewinged

...neu hier

Themenstarter

Beiträge: 6

#11 Hallo,

AntiVir und DrWeb haben nichts mehr gefunden, die Einträge im HijackLog sind auch weg.

Vielen Dank für die schnelle und kompetente Hilfe!

Gruß

Toby

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1