Winantivirus 2006 Pro und vielleicht noch anderes!

#1 Hallo erst einmal,
ich habe mir wohl auch diesen Winantivirus-Mist eingefangen.
Jedenfalls geht in unregelmässigen Abständen immer mal wieder ein Popup auf.
Vorzugsweise beim Windows-Update.
Ich habe jetzt HijackThis heruntergeladen, und laufenlassen.
Cleanup habe ich gemacht (wie in der Anleitung hier im Forum).
ComboFix scheint aber nicht zu funktionieren.
Jedenfalls habe ich seit ca. 30 Minuten nichts anderes ausser "Please wait"
Wie lange darf das dauern?
Bin jetzt über meinen 2t Rechner drin, weil ich das nicht abbrechen oder stören möchte.
Kann deshalb momentan auch das Hijack-Log nicht hier posten.

Wär toll, wenn mir jemand helfen könnte...

Danke schonmal

edit: Sorry, hab wohl ein Doppelposting gemacht. Bin gerade mit lynx (text-browser) im www...
Das ist dann doch manchmal etwas ungewohnt....

edit2: hab ComboFix jetzt abgebrochen....
Hier das Hijack-Log :
Logfile of HijackThis v1.99.1
Scan saved at 19:44, on 06-08-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\WINDOWS\ATKKBService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\RTHDCPL.EXE
I:\Programme\Logitech\iTouch\iTouch.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\Programme\Logitech\MouseWare\system\em_exec.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
I:\Programme\FRITZ!\FriFax32.exe
I:\Programme\PC-TV\WinManager\WinManager.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Dokumente und Einstellungen\ws42\Desktop\antivirum\HijackThis.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] I:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "I:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "I:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = I:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!fax.lnk = I:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: PC Alert 4.lnk = I:\Programme\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: WinManager.lnk = I:\Programme\PC-TV\WinManager\WinManager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153937104171
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D0D1E60-1024-426B-A93E-65B68468F495}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE1E3BEA-348D-4F64-A44F-189A451E5130}: NameServer = 192.168.2.10
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - I:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: NBService - Nero AG - I:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe

#2 Ministry

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ok...
Hallo erst mal ...

system32:

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: D892-4C34

Verzeichnis von I:\WINDOWS\system32

06-08-27 15:20 630,085 qttss.ini2
06-08-27 15:20 629,907 qttss.bak2
06-08-27 15:20 50,257 nvapps.xml
06-08-27 15:19 13,744 wpa.dbl
06-08-26 14:26 21,840 SIntfNT.dll
06-08-26 14:26 17,212 SIntf32.dll
06-08-26 14:26 12,067 SIntf16.dll
06-08-23 19:38 13,844 sxqrcsnr.exe
06-08-23 15:26 13,844 osbmuafy.exe
06-08-22 10:48 13,844 pbcbqobx.exe
06-08-21 19:20 401,200 perfh009.dat
06-08-21 19:20 62,480 perfc009.dat
06-08-21 19:20 75,200 perfc007.dat
06-08-21 19:20 415,800 perfh007.dat
06-08-21 19:20 927,796 PerfStringBackup.INI
06-08-17 19:46 13,844 iiftysqt.exe
06-08-17 10:36 12,820 pprwixmh.exe
06-08-14 19:16 0 mcrh.tmp
06-08-10 15:11 274,611 qttss.tmp
06-08-10 15:10 275,072 qttss.ini
06-08-09 21:03 8,325,544 MRT.exe
06-07-31 15:15 104,624 FNTCACHE.DAT
06-07-28 13:28 3,075,072 mshtml.dll
06-07-27 22:44 209,695 qttss.bak1
06-07-27 22:44 573,492 ssttq.dll
06-07-27 15:25 679,424 inetcomm.dll
06-07-27 10:33 43,520 CmdLineExt03.dll
06-07-26 20:51 86,016 OpenAL32.dll
06-07-26 20:51 262,144 wrap_oal.dll
06-07-26 20:33 0 h323log.txt
06-07-26 20:20 13,744 wpa.bak
06-07-26 20:02 146,650 BuzzingBee.wav
06-07-26 20:02 940,794 LoopyMusic.wav
06-07-26 19:42 261 $winnt$.inf
06-07-26 19:40 23,392 nscompat.tlb
06-07-26 19:40 16,832 amcompat.tlb
06-07-26 19:40 488 WindowsLogon.manifest
06-07-26 19:40 488 logonui.exe.manifest
06-07-26 19:39 749 cdplayer.exe.manifest
06-07-26 19:39 749 sapi.cpl.manifest
06-07-26 19:39 749 wuaucpl.cpl.manifest
06-07-26 19:39 749 ncpa.cpl.manifest
06-07-26 19:39 749 nwc.cpl.manifest
06-07-26 19:38 21,740 emptyregdb.dat
06-07-25 22:33 615,936 urlmon.dll
06-07-21 10:29 72,704 hlink.dll
06-07-14 17:38 332,288 netapi32.dll
06-07-14 17:25 546,304 hhctrl.ocx
06-07-13 15:34 8,494,592 shell32.dll
06-07-05 12:55 1,057,792 kernel32.dll
06-06-26 19:40 148,480 dnsapi.dll
06-06-26 19:40 8,192 rasadhlp.dll
06-06-23 13:10 664,576 wininet.dll
06-06-23 13:10 1,494,016 shdocvw.dll
06-06-23 13:10 532,480 mstime.dll
06-06-23 13:10 39,424 pngfilt.dll
06-06-23 13:10 474,624 shlwapi.dll
06-06-23 13:10 146,432 msrating.dll
06-06-23 13:10 448,512 mshtmled.dll
06-06-23 13:10 251,392 iepeers.dll
06-06-23 13:10 205,312 dxtrans.dll
06-06-23 13:10 357,888 dxtmsft.dll
06-06-23 13:10 16,384 jsproxy.dll
06-06-23 13:10 55,808 extmgr.dll
06-06-23 13:10 1,022,976 browseui.dll
06-06-23 13:10 152,064 cdfview.dll
06-06-23 13:10 96,768 inseng.dll
06-06-23 13:10 1,056,256 danim.dll
06-06-23 10:53 27,136 xpsp3res.dll
06-06-22 12:47 181,248 rasmans.dll
06-06-19 16:20 702,768 WgaLogon.dll
06-06-19 16:19 571,184 LegitCheckControl.dll
06-06-19 16:19 304,944 WgaTray.exe
06-06-02 11:04 57,384 avsda.dll
06-06-01 20:47 27,648 jgpl400.dll
06-06-01 20:47 163,840 jgdw400.dll
06-06-01 17:22 208,896 nvudisp.exe
06-05-19 15:09 95,744 iphlpapi.dll
06-05-19 15:09 112,128 dhcpcsvc.dll
06-05-18 07:36 450,560 jscript.dll
06-05-16 22:23 339,968 pxwave.dll
06-05-16 22:23 28,672 vxblock.dll
06-05-16 22:23 56,832 pxinsa64.exe
06-05-16 22:23 430,080 px.dll
06-05-16 22:23 61,440 pxhpinst.exe
06-05-16 22:23 450,560 pxdrv.dll
06-05-16 22:23 57,344 pxcpya64.exe
06-05-16 22:23 1,257,472 pxsfs.dll
06-05-16 22:23 176,128 pxmas.dll
06-05-01 21:24 81,920 ElbyCDIO.dll

2007 Datei(en) 388,242,003 Bytes
0 Verzeichnis(se), 29,716,803,584 Bytes frei


systemtmp:

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: D892-4C34

Verzeichnis von I:\DOKUME~1\ws42\LOKALE~1\Temp

06-08-27 15:20 20,859 Turkish.bin
06-08-27 15:20 20,608 Norwegian.bin
06-08-27 15:20 24,446 Hungarian.bin
06-08-27 15:20 21,562 Finnish.bin
06-08-27 15:20 18,436 Hebrew.bin
06-08-27 15:20 22,862 Czech.bin
06-08-27 15:20 23,522 Portuguese(Brazil).bin
06-08-27 15:20 22,606 Polish.bin
06-08-27 15:20 23,467 Greek.bin
06-08-27 15:20 20,733 Thai.bin
06-08-27 15:20 19,506 Arabic.bin
06-08-27 15:20 21,773 English.bin
06-08-27 15:20 15,534 SimChin.bin
06-08-27 15:20 22,684 SWEDISH.bin
06-08-27 15:20 24,654 Portuguese.bin
06-08-27 15:20 24,638 Russian.bin
06-08-27 15:20 26,062 Spanish.bin
06-08-27 15:20 25,824 Italian.bin
06-08-27 15:20 24,274 German.bin
06-08-27 15:20 25,665 French.bin
06-08-27 15:19 16,913 TradChin.bin
06-08-27 15:19 24,173 Dutch.bin
06-08-27 15:19 22,856 Danish.bin
06-08-27 15:19 18,978 Korean.bin
06-08-27 15:19 22,809 Japanese.bin
25 Datei(en) 555,444 Bytes
0 Verzeichnis(se), 29,716,189,184 Bytes frei

system:

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: D892-4C34

Verzeichnis von I:\WINDOWS

06-08-27 15:19 1,171,821 WindowsUpdate.log
06-08-27 15:19 0 0.log
06-08-27 15:19 2,048 bootstat.dat
06-08-27 15:18 13,014 SchedLgU.Txt
06-08-24 20:58 594,244 setupapi.log
06-08-22 10:57 216 wiadebug.log
06-08-22 10:51 50 wiaservc.log
06-08-20 21:59 1,830 spupdsvc.log
06-08-20 21:56 1,454 COM+.log
06-08-20 21:46 11,394 KB904942.log
06-08-20 21:46 22,343 ocmsn.log
06-08-20 21:46 1,374 imsins.log
06-08-20 21:46 157,714 tsoc.log
06-08-20 21:46 143,483 comsetup.log
06-08-20 21:46 85,567 ntdtcsetup.log
06-08-20 21:46 62,556 iis6.log
06-08-20 21:46 20,369 msgsocm.log
06-08-20 21:46 201,103 ocgen.log
06-08-20 21:46 396,090 FaxSetup.log
06-08-20 21:46 22,161 updspapi.log
06-08-20 21:44 6,497 WMCSetup.log
06-08-20 21:44 1,374 imsins.BAK
06-08-20 21:43 3,435 basecsp.log
06-08-20 21:43 7,146 KB891122.log
06-08-20 21:43 16,046 wmsetup.log
06-08-20 21:43 316,640 WMSysPr9.prx
06-08-19 20:40 69 NeroDigital.ini
06-08-14 19:15 18,616 KB920214.log
06-08-14 19:15 18,920 KB922616.log
06-08-14 19:15 18,500 KB921398.log
06-08-14 19:15 18,009 KB920683.log
06-08-14 19:15 16,539 KB920670.log
06-08-14 19:15 16,705 KB917422.log
06-08-14 19:14 20,181 KB918899.log
06-08-09 22:51 12,350 KB921883.log
06-08-06 11:18 169,982 setupact.log
06-08-06 11:16 143,840 ntbtlog.txt
06-07-29 22:14 632 avmcoins.log
06-07-29 22:10 16,563 DirectX.log
06-07-29 10:58 11,213 scunin.dat
06-07-29 10:58 967 ScUnin.pif
06-07-29 10:58 67,584 ScUnin.exe
06-07-29 09:57 86,528 bnetunin.exe
06-07-29 09:57 61,440 diabunin.exe
06-07-29 08:16 26,785 DIIUnin.dat
06-07-29 08:08 2,829 DIIUnin.pif
06-07-29 08:08 102,400 DIIUnin.exe
06-07-26 21:13 2,904 mozver.dat
06-07-26 20:38 0 nsreg.dat
06-07-26 20:32 37,207 KB899587.log
06-07-26 20:31 35,943 KB885835.log
06-07-26 20:31 35,065 KB885836.log
06-07-26 20:31 26,577 KB917734.log
06-07-26 20:31 36,007 KB911927.log
06-07-26 20:31 35,505 KB901017.log
06-07-26 20:31 35,821 KB899591.log
06-07-26 20:31 36,008 KB896424.log
06-07-26 20:31 36,006 KB893756.log
06-07-26 20:31 34,970 KB911280.log
06-07-26 20:31 34,431 KB911562.log
06-07-26 20:31 31,093 KB896423.log
06-07-26 20:31 34,184 KB900485.log
06-07-26 20:31 33,346 KB917159.log
06-07-26 20:31 32,375 KB873339.log
06-07-26 20:31 23,794 WgaNotify.log
06-07-26 20:30 0 Sti_Trace.log
06-07-26 20:28 32,007 KB888113.log
06-07-26 20:28 31,949 KB887472.log
06-07-26 20:28 33,592 KB896358.log
06-07-26 20:28 26,134 KB910437.log
06-07-26 20:28 22,167 KB911564.log
06-07-26 20:28 1,348 regopt.log
06-07-26 20:28 31,021 KB891781.log
06-07-26 20:28 231 system.ini
06-07-26 20:28 31,752 KB918439.log
06-07-26 20:28 36,734 KB902400.log
06-07-26 20:27 28,581 KB890046.log
06-07-26 20:27 27,838 KB914388.log
06-07-26 20:27 26,765 KB917344.log
06-07-26 20:27 26,015 KB905414.log
06-07-26 20:27 25,217 KB917953.log
06-07-26 20:27 25,008 KB901214.log
06-07-26 20:27 24,339 KB888302.log
06-07-26 20:27 26,310 KB900725.log
06-07-26 20:27 24,305 KB912919.log
06-07-26 20:27 17,995 KB886185.log
06-07-26 20:27 23,776 KB916595.log
06-07-26 20:26 0 setuperr.log
06-07-26 20:26 23,500 KB904706.log
06-07-26 20:26 24,034 KB908531.log
06-07-26 20:26 23,598 KB905749.log
06-07-26 20:26 26,476 KB916281.log
06-07-26 20:26 19,552 KB913580.log
06-07-26 20:26 17,656 KB896428.log
06-07-26 20:26 18,349 KB911567.log
06-07-26 20:26 18,342 KB894391.log
06-07-26 20:26 16,049 KB908519.log
06-07-26 20:26 16,862 KB914389.log
06-07-26 20:26 18,422 KB890859.log
06-07-26 20:20 839,286 setuplog.txt
06-07-26 20:06 4,571 WGA.log
06-07-26 20:06 7,350 KB898461.log
06-07-26 20:06 6,177 KB893803v2.log
06-07-26 20:00 4,507 KB888111.log
06-07-26 19:52 346 xpsp1hfm.log
06-07-26 19:46 829 OEWABLog.txt
06-07-26 19:43 8,192 REGLOCS.OLD
06-07-26 19:40 0 control.ini
06-07-26 19:40 477 win.ini
06-07-26 19:40 4,161 ODBCINST.INI
06-07-26 19:39 749 WindowsShell.Manifest
06-07-26 19:38 37 vbaddin.ini
06-07-26 19:38 36 vb.ini
06-07-26 19:38 133 DtcInstall.log
06-07-26 19:37 1,023 sessmgr.setup.log
06-07-26 19:34 200 cmsetacl.log

171 Datei(en) 42,792,467 Bytes
0 Verzeichnis(se), 29,716,164,608 Bytes frei

sys:

Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: D892-4C34

Verzeichnis von I:\

06-08-27 15:23 0 sys.txt
06-08-27 15:22 8,421 system.txt
06-08-27 15:21 1,421 systemtemp.txt
06-08-27 15:20 93,981 system32.txt
06-08-27 15:19 5,242,880,000 pagefile.sys
06-08-23 18:47 5,111 files.txt
06-08-06 11:18 890 rapport.txt
06-07-26 21:25 210 boot.ini
04-08-04 14:00 4,952 bootfont.bin
04-08-04 14:00 47,564 NTDETECT.COM
04-08-04 14:00 251,184 ntldr
11 Datei(en) 5,243,293,734 Bytes
0 Verzeichnis(se), 29,716,160,512 Bytes frei

Ich hoffe, das hilft.
Ich hatte CleanUp direkt vor dem datFind nochmal laufen lassen, und nach dem reboot, hat sich AntiVir gemeldet :
TR/Adload.MAS.6 in ...\Temp\wowgylyh.exe

#4 Ministry

1.
combofix - poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
Vundofix - poste den scanreport
http://virus-protect.org/artikel/tools/vundofixx.html

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssttq
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

Files to delete:
I:\WINDOWS\system32\qttss.ini2
I:\WINDOWS\system32\qttss.bak2
I:\WINDOWS\system32\sxqrcsnr.exe
I:\WINDOWS\system32\osbmuafy.exe
I:\WINDOWS\system32\pbcbqobx.exe
I:\WINDOWS\system32\iiftysqt.exe
I:\WINDOWS\system32\pprwixmh.exe
I:\WINDOWS\system32\mcrh.tmp
I:\WINDOWS\system32\qttss.tmp
I:\WINDOWS\system32\qttss.ini
I:\WINDOWS\system32\qttss.bak1
I:\WINDOWS\system32\ssttq.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
smitfraud.fix (option 1 und 2) - lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste beide scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit

#5 soooooooo....
also....
ComboFix hat wieder nicht funktioniert.
VundoFix:
VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 20:37:48 06-08-27

Listing files found while scanning....

I:\WINDOWS\system32\ssttq.dll
I:\WINDOWS\system32\qttss.ini
I:\WINDOWS\system32\qttss.bak1
I:\WINDOWS\system32\qttss.bak2
I:\WINDOWS\system32\qttss.ini2
I:\WINDOWS\system32\qttss.tmp
I:\WINDOWS\system32\iiftysqt.exe
I:\WINDOWS\system32\pprwixmh.exe

Beginning removal...

Attempting to delete I:\WINDOWS\system32\ssttq.dll
I:\WINDOWS\system32\ssttq.dll Could not be deleted.

Attempting to delete I:\WINDOWS\system32\qttss.ini
I:\WINDOWS\system32\qttss.ini Has been deleted!

Attempting to delete I:\WINDOWS\system32\qttss.bak1
I:\WINDOWS\system32\qttss.bak1 Has been deleted!

Attempting to delete I:\WINDOWS\system32\qttss.bak2
I:\WINDOWS\system32\qttss.bak2 Has been deleted!

Attempting to delete I:\WINDOWS\system32\qttss.ini2
I:\WINDOWS\system32\qttss.ini2 Has been deleted!

Attempting to delete I:\WINDOWS\system32\qttss.tmp
I:\WINDOWS\system32\qttss.tmp Has been deleted!

Attempting to delete I:\WINDOWS\system32\iiftysqt.exe
I:\WINDOWS\system32\iiftysqt.exe Has been deleted!

Attempting to delete I:\WINDOWS\system32\pprwixmh.exe
I:\WINDOWS\system32\pprwixmh.exe Has been deleted!

Performing Repairs to the registry.
Done!

Das Log von Avanger ist leer.
avenger.txt

smitfraud.fix:
SmitFraudFix v2.81

Scan done at 21:01:06.48, 06-08-27
Run from I:\Dokumente und Einstellungen\ws42\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Wars das jetzt trotzdem?
Oder sind die beiden Fehlschläge bedenklich?

gruss

Ministry

#6 1.
combofix - versuche es noch mal....
http://virus-protect.org/artikel/tools/combofix.html

2.
poste noch mal das erste log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Also combofix ist wieder nicht durchgelaufen....
Ich hatte den Rechner über Nacht angelassen und heute Morgen stand er immer noch auf "Bitte warten"...

system32:
Volume in Laufwerk I: hat keine Bezeichnung.
Volumeseriennummer: D892-4C34

Verzeichnis von I:\WINDOWS\system32

06-08-28 18:04 630,142 qttss.ini
06-08-28 18:03 50,257 nvapps.xml
06-08-28 18:03 13,744 wpa.dbl
06-08-27 22:03 630,127 qttss.bak2
06-08-27 20:48 629,859 qttss.bak1
06-08-27 20:39 9,216 VundoFixSVC.exe
06-08-27 15:34 21,840 SIntfNT.dll
06-08-27 15:34 17,212 SIntf32.dll
06-08-27 15:34 12,067 SIntf16.dll
06-08-21 19:20 401,200 perfh009.dat
06-08-21 19:20 62,480 perfc009.dat
06-08-21 19:20 415,800 perfh007.dat
06-08-21 19:20 75,200 perfc007.dat
06-08-21 19:20 927,796 PerfStringBackup.INI
06-08-14 19:16 0 mcrh.tmp
06-08-09 21:03 8,325,544 MRT.exe
06-07-31 15:15 104,624 FNTCACHE.DAT
06-07-28 13:28 3,075,072 mshtml.dll
06-07-27 22:44 573,492 ssttq.dll
06-07-27 15:25 679,424 inetcomm.dll
06-07-27 10:33 43,520 CmdLineExt03.dll
06-07-26 20:51 86,016 OpenAL32.dll
06-07-26 20:51 262,144 wrap_oal.dll
06-07-26 20:33 0 h323log.txt
06-07-26 20:20 13,744 wpa.bak
06-07-26 20:02 146,650 BuzzingBee.wav
06-07-26 20:02 940,794 LoopyMusic.wav
06-07-26 19:42 261 $winnt$.inf
06-07-26 19:40 23,392 nscompat.tlb
06-07-26 19:40 16,832 amcompat.tlb
06-07-26 19:40 488 WindowsLogon.manifest
06-07-26 19:40 488 logonui.exe.manifest
06-07-26 19:39 749 cdplayer.exe.manifest
06-07-26 19:39 749 wuaucpl.cpl.manifest
06-07-26 19:39 749 sapi.cpl.manifest
06-07-26 19:39 749 nwc.cpl.manifest
06-07-26 19:39 749 ncpa.cpl.manifest
06-07-26 19:38 21,740 emptyregdb.dat
06-07-25 22:33 615,936 urlmon.dll
06-07-21 10:29 72,704 hlink.dll
06-07-14 17:38 332,288 netapi32.dll
06-07-14 17:25 546,304 hhctrl.ocx
06-07-13 15:34 8,494,592 shell32.dll
06-07-05 12:55 1,057,792 kernel32.dll
06-06-26 19:40 148,480 dnsapi.dll
06-06-26 19:40 8,192 rasadhlp.dll
06-06-23 13:10 664,576 wininet.dll
06-06-23 13:10 146,432 msrating.dll
06-06-23 13:10 1,494,016 shdocvw.dll
06-06-23 13:10 532,480 mstime.dll
06-06-23 13:10 448,512 mshtmled.dll
06-06-23 13:10 39,424 pngfilt.dll
06-06-23 13:10 474,624 shlwapi.dll
06-06-23 13:10 205,312 dxtrans.dll
06-06-23 13:10 1,056,256 danim.dll
06-06-23 13:10 16,384 jsproxy.dll
06-06-23 13:10 357,888 dxtmsft.dll
06-06-23 13:10 251,392 iepeers.dll
06-06-23 13:10 152,064 cdfview.dll
06-06-23 13:10 1,022,976 browseui.dll
06-06-23 13:10 55,808 extmgr.dll
06-06-23 13:10 96,768 inseng.dll
06-06-23 10:53 27,136 xpsp3res.dll
06-06-22 12:47 181,248 rasmans.dll
06-06-19 16:20 702,768 WgaLogon.dll
06-06-19 16:19 571,184 LegitCheckControl.dll
06-06-19 16:19 304,944 WgaTray.exe
06-06-02 11:04 57,384 avsda.dll
06-06-01 20:47 163,840 jgdw400.dll
06-06-01 20:47 27,648 jgpl400.dll
06-06-01 17:22 208,896 nvudisp.exe
06-05-19 15:09 95,744 iphlpapi.dll
06-05-19 15:09 112,128 dhcpcsvc.dll
06-05-18 07:36 450,560 jscript.dll
06-05-16 22:23 339,968 pxwave.dll
06-05-16 22:23 28,672 vxblock.dll
06-05-16 22:23 56,832 pxinsa64.exe
06-05-16 22:23 176,128 pxmas.dll
06-05-16 22:23 1,257,472 pxsfs.dll
06-05-16 22:23 430,080 px.dll
06-05-16 22:23 450,560 pxdrv.dll
06-05-16 22:23 57,344 pxcpya64.exe
06-05-16 22:23 61,440 pxhpinst.exe
06-05-01 21:24 81,920 ElbyCDIO.dll

Ich habe heute allerdings noch kein Popup gehabt und auch keine AV-Warnung.
Ich denke fast das es das soweit war, aber ich warte trotzdem nochmal dein Statement ab.

edit : Der TR/Adload.MAS.6 hat sich gerade wieder gemeldet.
Werd ich das Ding jemals wieder los ??

#8 Ministry

1.
wende noch mal vundofix an

2.
Avenger

Zitat

Files to delete:
I:\WINDOWS\system32\qttss.ini
I:\WINDOWS\system32\qttss.bak2
I:\WINDOWS\system32\qttss.bak1
I:\WINDOWS\system32\mcrh.tmp
I:\WINDOWS\system32\ssttq.dll

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "I:\Windows\System32\Com" >>files.txt
dir "I:\WINDOWS\system32\components" >>files.txt
dir "I:\WINDOWS\Downloaded Program Files" >>files.txt
dir "I:\Programme\Common Files" >>files.txt
dir "I:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "I:\Program Files" >>files.txt
dir "I:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "I:\WINDOWS\Temp" >>files.txt
dir "I:\Temp" >>files.txt
dir "I:\Programme" >>files.txt
dir "I:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "I:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "I:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "I:\Programme\Gemeinsame Dateien" >>files.txt
dir "I:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit