Home » Viren, Trojaner & Malware Forum » Viren,Trojaner&Malware WinFixer2005 » Themenansicht

Viren,Trojaner&Malware WinFixer2005
#0
10.08.2006, 22:56
ahista
...neu hier

Beiträge: 1
#1 Hallo
ich habe ein problem mit WinFixer2005
ich habe vorab schon mit HijackThis einen scan durchgeführt.
Bitte, vielleicht könnt ihr mir ja weiter helfen, ich habe sehr wenig Ahnung, würde mich freuen, wenn ihr eure Antwort so formulieren könntet, dass auch ein Neuling sie versteht.
Vielen DankLogfile of HijackThis v1.99.1
Scan saved at 22:18:51, on 09.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Kabelloser Labtec-Desktop\MulMouse.exe
C:\Programme\Kabelloser Labtec-Desktop\OSD.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUMENTE UND EINSTELLUNGEN\MARION\DESKTOP\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\3.bin\MWSBAR.DLL
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\3.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntssf.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NI.UERSU_0001_LP] "C:\Dokumente und Einstellungen\Marion\Desktop\ErrorSafeScannerInstall_de.exe"
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntssf.exe
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntssf.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kabellosen Labtec-Desktop aktivieren.lnk = C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151140980765
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150787517781
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
10.08.2006, 23:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo ahista
viel Sinn macht eine Reinigung nicht, dein Rechner ist von einem Wurm/Backdoor neben zahlreicher Spyware befallen, dein System also kompromitiert und nicht mehr sicher.
Das vernuenftigste waere, sofort zu formatieren und alle passworte zu aendern.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.08.2006, 19:13
Corri
...neu hier

Beiträge: 4
#3 Hallo Sabina habe einen Backdoor Ranky..Wie bekomme ich ihn los??
Hier vorab meine Hijacklogfile...


Logfile of HijackThis v1.99.1
Scan saved at 18:59:24, on 12.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\dllmgr64.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\corinne\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {A38EFAD2-3EDE-49B4-9F54-EF169162C3DC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {A38EFAD2-3EDE-49B4-9F54-EF169162C3DC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\

Bitte um Hilfe!!
Seitenanfang Seitenende
12.08.2006, 20:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Corri

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

dllmgr64

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2006, 20:22
Corri
...neu hier

Beiträge: 4
#5 Ich hoffe das stimmt so!!

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 14.08.2006 20:24:56 for strings:
; 'dllmgr64'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64\0000]
"Service"="dllmgr64"
"DeviceDesc"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64\0000\Control]
"ActiveService"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64]
; Contents of value:
; "c:\windows\dllmgr64.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,64,6c,6c,6d,67,72,36,34,\
2e,65,78,65,22,00
"DisplayName"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64\Enum]
"0"="Root\\LEGACY_DLLMGR64\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64\0000]
"Service"="dllmgr64"
"DeviceDesc"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64]
; Contents of value:
; "c:\windows\dllmgr64.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,64,6c,6c,6d,67,72,36,34,\
2e,65,78,65,22,00
"DisplayName"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000]
"Service"="dllmgr64"
"DeviceDesc"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000\Control]
"ActiveService"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64]
; Contents of value:
; "c:\windows\dllmgr64.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,64,6c,6c,6d,67,72,36,34,\
2e,65,78,65,22,00
"DisplayName"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64\Enum]
"0"="Root\\LEGACY_DLLMGR64\\0000"

; End Of The Log...




hier die erste...


14.08.2006 20:17 3.928 ikhcore.log
14.08.2006 20:16 19.456 dllsys64.exe
14.08.2006 20:16 13.646 wpa.dbl
28.05.2006 14:37 43.520 CmdLineExt03.dll



weiter....


14.08.2006 20:57 16.384 Perflib_Perfdata_d4c.dat
08.08.2006 06:17 148 DFC5A2B2.TMP


weiter...



14.08.2006 20:16 0 0.log
14.08.2006 20:16 2.048 bootstat.dat
11.08.2006 17:58 192 winamp.ini
11.08.2006 17:36 415.574 setupapi.log
10.08.2006 19:52 651 win.ini
10.08.2006 19:52 651 win.tmp
10.08.2006 19:03 394 nsw.log
10.08.2006 18:47 1.183.973 WindowsUpdate.log
10.08.2006 18:45 11.142 ModemLog_Smart Link 56K Modem.txt
13.03.2006 15:01 40.960 dllmgr64.exe


weiter....



14.08.2006 21:43 0 sys.txt
14.08.2006 21:42 5.058 windows.txt
14.08.2006 21:42 5.058 system.txt
14.08.2006 21:41 357 temp.txt
14.08.2006 21:40 357 systemtemp.txt
14.08.2006 21:38 89.740 system32.txt
14.08.2006 20:50 89.740 c.txt
14.08.2006 20:16 19.456 msutil64.exe
14.08.2006 20:16 805.306.368 pagefile.sys
11.08.2006 13:08 161 TO_InstallLog.txt
17.10.2005 08:16 194 boot.ini




Ich hoffe ich hab alles richtig gemacht bin nämlich am PC nicht so fit!!

Ist halt ein bisschen kompliziert!
Falls ich was falsch gemacht habe bitte ich dich mich zu verbessern!
Dieser Beitrag wurde am 14.08.2006 um 21:55 Uhr von Corri editiert.
Seitenanfang Seitenende
15.08.2006, 00:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Corri

Information der Verseuchung - W32/Tilebot-CP Spyware Worm
http://www.sophos.com/security/analyses/w32tilebotcp.html

----------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS DLL Library Manager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64

Files to delete:

C:\WINDOWS\System32\dllsys64.exe
C:\WINDOWS\dllmgr64.exe
C:\WINDOWS\win.ini
C:\WINDOWS\win.tmp
C:\msutil64.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

nach dem neustart wird ein log vom avenger erscheinen . - poste es hier

------------

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 22:02
Corri
...neu hier

Beiträge: 4
#7 Hier die reporte..

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pfkjrvlv

*******************

Script file located at: \??\C:\WINDOWS\System32\ecyoheil.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000\Control not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000\Control failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000\Control
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64
Status: 0xc0000034

File C:\WINDOWS\System32\dllsys64.exe deleted successfully.
File C:\WINDOWS\dllmgr64.exe deleted successfully.
File C:\WINDOWS\win.ini deleted successfully.
File C:\WINDOWS\win.tmp deleted successfully.
File C:\msutil64.exe deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS DLL Library Manager not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS DLL Library Manager failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Und von Kaspersky...

gefunden: Adware not-a-virus:AdWare.Win32.WinAD.b Datei: C:\98.exe//UPX
gefunden: trojanisches Programm Backdoor.Win32.SdBot.xd Datei: C:\avenger\backup.zip/avenger/dllmgr64.exe
gefunden: trojanisches Programm Trojan-Proxy.Win32.Ranky.du Datei: C:\avenger\backup.zip/avenger/dllsys64.exe
gefunden: trojanisches Programm Trojan-Proxy.Win32.Ranky.du Datei: C:\avenger\backup.zip/avenger/msutil64.exe
gefunden: trojanisches Programm Trojan-Proxy.Win32.Ranky.du Datei: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\k2sys64[1].exe
gefunden: Adware not-a-virus:AdWare.Win32.WinAD.b Datei: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\pic[1].jpg//UPX
gefunden: Adware not-a-virus:AdWare.Win32.WinAD.b Datei: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\pic[3].jpg//UPX
gefunden: trojanisches Programm Trojan-Downloader.BAT.Ftp.z Datei: C:\WINDOWS\system32\.pif
gefunden: trojanisches Programm Backdoor.Win32.Rbot.adf Datei: C:\WINDOWS\system32\mswinsdp.exe//PolyCrypt//PolyCrypt//PolyCrypt//ASPack
gefunden: trojanisches Programm Trojan-Downloader.BAT.Ftp.cg Datei: C:\WINDOWS\system32\rom
Seitenanfang Seitenende
15.08.2006, 22:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Corri

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2. suche - loesche
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP

3.
Avenger

Zitat

Files to delete:

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\k2sys64[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\pic[1].jpg
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\pic[3].jpg
C:\WINDOWS\system32\.pif
C:\WINDOWS\system32\mswinsdp.exe
C:\WINDOWS\system32\rom
poste den report vom avenger
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2006, 20:15
Corri
...neu hier

Beiträge: 4
#9 Hallo Sabina leider bringt der Avenger die Nachricht:

Fatal Error: Could not create new Script File.

Und danach:

Error Code: 0
Error logged to errorlog.txt. Aborting now!

Was muss ich tun wieso funkzioniert das nicht??
Seitenanfang Seitenende
21.08.2006, 21:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 uebersehe die fehlermeldung, kopiere es mehrfach in den avenger, bis er neustartet, dann poste den report

falls es doch nicht klappen sollte:

Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\k2sys64[1].exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\pic[1].jpg
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAKIYERP\pic[3].jpg
C:\WINDOWS\system32\.pif
C:\WINDOWS\system32\mswinsdp.exe
C:\WINDOWS\system32\rom

PC neustarten

---------------------------------------------------------------

http://virus-protect.org/multiavtool.html

* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1