spyware spyquake *grml* hab ich das nun entfernt? *hijackThis-log + datfind

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.08.2006, 07:39
Member

Beiträge: 47
#1 Hallo

wie auch immer ich zum Teufel rangekommen bin, ich hab den spyquake-Schei... aufm Rechner gehabt.. oder habs noch.. ich hoff mal nicht.. hab den spy doctor laufen lassen und der hat es "entfernt" würde aber gern wissen, ob es auch wirklich weg ist.. und da ich keine Ahnung hab von sowas hab,hab ich zwar hijack laufen lassen, aber nicht die leiseste Ahnung was mit dem protokoll anzufangen...

Logfile of HijackThis v1.99.1
Scan saved at 12:39:49, on 28.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\W?nSxS\?hkdsk.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\TIGGER~1\ANWEND~1\ICROSO~1.NET\tracert.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TEMP\idd3F.tmp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Dokumente und Einstellungen\Tiggerchen\Eigene Dateien\downloads\hijackthis_199\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {F636B8F1-0B31-20B7-1BA6-04F2CF0345EA} - C:\WINDOWS\system32\lzkpq.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: TW_BHO Class - {1E1B2879-88FF-11D2-8D96-FFFFAC95951F} - C:\Program Files\Macro ToolsWorks\mtwbho.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {668B1E21-4DE0-450A-AB10-121220442EA6} - C:\WINDOWS\system32\iifdddc.dll (file missing)
O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00322} - C:\WINDOWS\g3159984.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: (no name) - {E1C20BD8-B060-45B7-A781-2EEA08617971} - C:\WINDOWS\system32\jkhfc.dll (file missing)
O2 - BHO: (no name) - {F636B8F1-0B31-20B7-1BA6-04F2CF0345EA} - C:\WINDOWS\system32\lzkpq.dll (file missing)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [b43178a6.exe] C:\Dokumente und Einstellungen\Tiggerchen\Lokale Einstellungen\Anwendungsdaten\b43178a6.exe
O4 - HKCU\..\Run: [Lnbu] "C:\DOKUME~1\TIGGER~1\ANWEND~1\ICROSO~1.NET\tracert.exe" -vt ndrv
O4 - HKCU\..\Run: [Ugqxee] C:\WINDOWS\system32\W?nSxS\?hkdsk.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {AA33C66F-71DB-43E9-B559-3CBE4398E9A9} (BugsGameStarts Class) - http://au.bugsgames.net/game/GBugsGameStart.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winetn32 - C:\WINDOWS\SYSTEM32\winetn32.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

datfind logs

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\WINDOWS\system32

28.08.2006 13:07 5.120 ismon.exe
28.08.2006 13:07 36.368 ishost.exe
28.08.2006 13:07 13.312 b43178a6.exe
28.08.2006 13:07 40.973 opnopop.dll

28.08.2006 13:02 2.206 wpa.dbl
28.08.2006 13:01 26.929 ikhcore.log
28.08.2006 11:14 34.308 BASSMOD.dll
27.08.2006 23:00 13.844 dsmsogls.exe
27.08.2006 22:54 18.944 winetn32.dll

11.08.2006 08:56 384.596 perfh009.dat
11.08.2006 08:56 54.280 perfc009.dat
11.08.2006 08:56 396.012 perfh007.dat
11.08.2006 08:56 65.470 perfc007.dat
11.08.2006 08:56 903.750 PerfStringBackup.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\DOKUME~1\TIGGER~1\LOKALE~1\Temp

28.08.2006 12:59 104 641
28.08.2006 12:59 120 351
28.08.2006 12:59 129 199
28.08.2006 12:58 111 28
21.08.2006 22:21 153 DFC5A2B2.TMP
5 Datei(en) 617 Bytes
0 Verzeichnis(se), 23.099.314.176 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\WINDOWS

28.08.2006 13:12 10.166 ModemLog_Smart Link 56K Modem.txt
28.08.2006 13:01 0 0.log
28.08.2006 13:01 159 wiadebug.log
28.08.2006 13:01 50 wiaservc.log
28.08.2006 13:01 1.273.495 WindowsUpdate.log
28.08.2006 13:01 2.048 bootstat.dat
28.08.2006 13:00 32.618 SchedLgU.Txt
28.08.2006 12:08 191.561 setupact.log
28.08.2006 12:02 427.982 ntbtlog.txt
28.08.2006 11:00 981 win.ini
28.08.2006 00:23 38 gc322.cnf
28.08.2006 00:23 1.617 gsc322.cnf

27.08.2006 23:40 524.584 setupapi.log
27.08.2006 22:54 78.378 g14090390.dll
27.08.2006 18:41 850 videoimp.ini
27.08.2006 18:16 54.156 QTFont.qfn
26.08.2006 14:16 192 winamp.ini
12.08.2006 12:20 227 system.ini
09.08.2006 07:13 124.018 iis6.log
09.08.2006 07:13 212.754 comsetup.log
09.08.2006 07:13 130.250 ntdtcsetup.log
09.08.2006 07:13 1.355 imsins.log
09.08.2006 07:13 315.134 tsoc.log
09.08.2006 07:13 30.096 ocmsn.log
09.08.2006 07:13 18.884 KB920214.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\

28.08.2006 13:12 0 sys.txt
28.08.2006 13:12 9.495 system.txt
28.08.2006 13:12 459 systemtemp.txt
28.08.2006 13:12 104.813 system32.txt
28.08.2006 13:01 1.153.433.600 pagefile.sys
28.08.2006 12:07 3.600 smitfiles.txt
28.08.2006 12:02 1.727 rapport2.txt
28.08.2006 12:01 1.727 rapport.txt
28.08.2006 11:56 1.915 rapport1.txt
28.08.2006 11:34 1.560 VundoFix.txt
26.08.2006 16:16 522 hpfr3420.xml
26.08.2006 16:16 63.394 hpfr3425.log
12.08.2006 21:20 150 YServer.txt
12.08.2006 12:20 211 boot.ini
03.08.2006 20:10 201 DMF2_WKLog.txt
31.05.2006 15:28 211 Kopie von boot.ini
31.05.2006 10:55 1.142 drvpnp.dat
31.05.2006 10:55 683 pnpID.dat
31.05.2006 10:55 39 CTJINI.INI
31.05.2006 10:52 91 temp.log


wäre nett wenn mir jemand helfen würde...


Tante Edit:
Hab nun das-->> [url]
http://www.virus-protect.org/artikel/spyware/spywarequake.html [/url] abgearbeitet so weit es ging und das oben sind nun die daten nach dem ganzen abarbeiten..
gerade läuft nun noch dr.web durch und spy doctor hat wie ich eben gesehen habe die spyquake sachen in quarantäne verschoben gehabt nicht gelöscht *hmpf*
immer ärger mit den scheiss kisten.. und den dazugehörigen beistzern =(

weiss nicht was noch machen.. die pop-ups sind zwar weg die imemr aufgeploppt sind, aber ist der pc nun auch wirklich sauber? und.. was kann ich bei hijack nach dem scan alles löschen (weil da überall steht "file missing")
Dieser Beitrag wurde am 28.08.2006 um 13:20 Uhr von BloodySun editiert.
Seitenanfang Seitenende
28.08.2006, 13:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 BloodySun

1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\TEMP\idd3F.tmp.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\b43178a6.exe
C:\WINDOWS\system32\opnopop.dll
C:\WINDOWS\system32\dsmsogls.exe
C:\WINDOWS\system32\winetn32.dll
C:\Dokumente und Einstellungen\Tiggerchen\Lokale Einstellungen\Anwendungsdaten\b43178a6.exe
C:\WINDOWS\gc322.cnf
C:\WINDOWS\gsc322.cnf
C:\WINDOWS\g14090390.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {F636B8F1-0B31-20B7-1BA6-04F2CF0345EA} - C:\WINDOWS\system32\lzkpq.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: TW_BHO Class - {1E1B2879-88FF-11D2-8D96-FFFFAC95951F} - C:\Program Files\Macro ToolsWorks\mtwbho.dll (file missing)

O2 - BHO: (no name) - {668B1E21-4DE0-450A-AB10-121220442EA6} - C:\WINDOWS\system32\iifdddc.dll (file missing)
O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00322} - C:\WINDOWS\g3159984.dll (file missing)

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: (no name) - {E1C20BD8-B060-45B7-A781-2EEA08617971} - C:\WINDOWS\system32\jkhfc.dll (file missing)
O2 - BHO: (no name) - {F636B8F1-0B31-20B7-1BA6-04F2CF0345EA} - C:\WINDOWS\system32\lzkpq.dll (file missing)

O4 - HKCU\..\Run: [b43178a6.exe] C:\Dokumente und Einstellungen\Tiggerchen\Lokale Einstellungen\Anwendungsdaten\b43178a6.exe
O4 - HKCU\..\Run: [Lnbu] "C:\DOKUME~1\TIGGER~1\ANWEND~1\ICROSO~1.NET\tracert.exe" -vt ndrv
O4 - HKCU\..\Run: [Ugqxee] C:\WINDOWS\system32\W?nSxS\?hkdsk.exe

O20 - Winlogon Notify: winetn32 - C:\WINDOWS\SYSTEM32\winetn32.dll
4.
arbeite smitfraud.fix ab (option 1 und 2 , lasse auch die registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste beide scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 14:30
Member

Themenstarter

Beiträge: 47
#3 Hallo Sabina.. danke für die Mühe.. hier die Logs... denkste das is nun okay???





COMBOFIX LOG

Tiggerchen - 06-08-28 13:55:19.85
ComboFix 06.08.27BT - Running from: C:\Dokumente und Einstellungen\Tiggerchen\Eigene Dateien\downloads

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Cowabanga
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{D4E9EF65-0A28-1031-0611-030308210031}
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\Programme\ToolBar888

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\tracert.exe
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1\?hkdsk.exe


((((((((((((((((((((((((((((((( Files Created from 2006-07-28 to 2006-08-28 ))))))))))))))))))))))))))))))))))


2006-08-28 13:19 922,966 ---hs---- C:\WINDOWS\system32\ggjlm.bak1
2006-08-28 13:19 573,492 ---hs---- C:\WINDOWS\system32\mljgg.dll
2006-08-28 13:19 13,844 --a------ C:\WINDOWS\system32\busvniul.exe
2006-08-28 13:07 5,120 --a------ C:\WINDOWS\system32\ismon.exe
2006-08-28 13:07 40,973 ---hs---- C:\WINDOWS\system32\opnopop.dll
2006-08-28 13:07 36,368 --a------ C:\WINDOWS\system32\ishost.exe
2006-08-28 13:07 13,312 --a------ C:\WINDOWS\system32\b43178a6.exe
2006-08-27 23:09 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2006-08-27 23:00 13,844 --a------ C:\WINDOWS\system32\dsmsogls.exe
2006-08-27 22:54 78,378 --a------ C:\WINDOWS\g14090390.dll
2006-08-27 22:54 18,944 --a------ C:\WINDOWS\system32\winetn32.dll
2006-08-02 06:49 128,232 --a------ C:\WINDOWS\system32\mucltui.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-28 13:56 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-28 13:55 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-28 13:39 -------- d-------- C:\Programme\Gemeinsame Dateien\fiuk
2006-08-28 12:38 -------- d-------- C:\Programme\Roguescanfix
2006-08-28 11:14 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-08-28 07:50 -------- d-------- C:\Programme\Spyware Doctor
2006-08-28 00:44 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\PC Tools
2006-08-27 21:14 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Skype
2006-08-26 15:09 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-15 13:54 -------- d-------- C:\Programme\Silkroad
2006-08-12 21:20 -------- d-------- C:\Programme\Yahoo!
2006-08-09 07:11 -------- d-------- C:\Programme\Internet Explorer
2006-08-03 03:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-01 22:20 -------- d-------- C:\Programme\Jowood
2006-08-01 16:02 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-25 13:43 -------- d---s---- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Microsoft
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-19 22:19 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\MSN6
2006-07-18 06:28 -------- d-------- C:\Programme\CloneDVD
2006-07-13 06:01 -------- d-------- C:\Programme\AOL
2006-07-10 16:38 51072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-07-10 16:38 30592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-07-03 07:35 -------- d-------- C:\Programme\MSN Messenger
2006-07-02 18:55 -------- d-------- C:\Programme\DivX
2006-07-02 11:46 -------- d-------- C:\Programme\ANNO 1602 K”nigs-Edition
2006-07-01 00:56 245408 --a------ C:\WINDOWS\system32\unicows.dll
2006-06-30 06:46 -------- d-------- C:\Programme\Hex-Editor MX
2006-06-29 10:25 -------- d-------- C:\Programme\Gemeinsame Dateien\Scanner
2006-06-29 10:17 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-06-27 03:32 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-06-27 03:32 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-06-27 03:32 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-06-27 03:32 620180 --a------ C:\WINDOWS\system32\DivX.dll
2006-06-21 12:49 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2006-06-21 12:43 520192 --a------ C:\WINDOWS\system32\DivXsm.exe
2006-06-21 12:43 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-06-21 12:42 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-06-21 12:42 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-06-21 12:34 90112 --a------ C:\WINDOWS\system32\dpl100.dll
2006-06-21 12:34 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2006-06-21 12:34 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-06-21 12:34 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-06-21 12:34 200704 --a------ C:\WINDOWS\system32\dtu100.dll
2006-06-21 12:33 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2006-06-21 12:33 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"b43178a6.exe"="C:\\WINDOWS\\system32\\b43178a6.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"b43178a6.exe"="C:\\Dokumente und Einstellungen\\Tiggerchen\\Lokale Einstellungen\\Anwendungsdaten\\b43178a6.exe"
"Ugqxee"="C:\\WINDOWS\\system32\\W?nSxS\\?hkdsk.exe"
"Lnbu"="\"C:\\DOKUME~1\\TIGGER~1\\ANWEND~1\\ICROSO~1.NET\\tracert.exe\" -vt ndrv"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoActiveDesktopChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"NoDispAppearancePage"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispBackgroundPage"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0B\\aoltray.exe -check"
"item"="AOL 9.0 Tray-Symbol"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 9.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Tray-Symbol.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpohmr08.exe "
"item"="hp psc 1000 series"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hp psc 1000 series.lnk"
"backup"="C:\\WINDOWS\\pss\\hp psc 1000 series.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe "
"item"="hpoddt01.exe"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\WinZip Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\ATI-CPanel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\HostManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLSoftware"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1148487240\\ee\\AOLSoftware.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\InCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InCD"
"hkey"="HKLM"
"inimapping"="0"
"command"="C:\\Programme\\Ahead\\InCD\\InCD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IncrediMail]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IncMail"
"hkey"="HKCU"
"command"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IPHSend]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IPHSend"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\IPHSend\\IPHSend.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\STYLEXP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="StyleXP"
"hkey"="HKCU"
"command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="YAHOOM~1"
"hkey"="HKCU"
"command"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winetn32


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1140504007.job

Completion time: 28.08.2006 13:59:30.96
ComboFix.txt
ComboFix2.txt


AVENGER LOG

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fadvhqgc

*******************

Script file located at: \??\C:\WINDOWS\umdscrmb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\TEMP\idd3F.tmp.exe not found!
Deletion of file C:\WINDOWS\TEMP\idd3F.tmp.exe failed!

Could not process line:
C:\WINDOWS\TEMP\idd3F.tmp.exe
Status: 0xc0000034

File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\ishost.exe deleted successfully.
File C:\WINDOWS\system32\b43178a6.exe deleted successfully.
File C:\WINDOWS\system32\opnopop.dll deleted successfully.
File C:\WINDOWS\system32\dsmsogls.exe deleted successfully.
File C:\WINDOWS\system32\winetn32.dll deleted successfully.
File C:\Dokumente und Einstellungen\Tiggerchen\Lokale Einstellungen\Anwendungsdaten\b43178a6.exe deleted successfully.
File C:\WINDOWS\gc322.cnf deleted successfully.
File C:\WINDOWS\gsc322.cnf deleted successfully.
File C:\WINDOWS\g14090390.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




SmitFraudFix v2.81

Rapport fait à 14:14:57,75, 28.08.2006
Executé à partir de C:\Dokumente und Einstellungen\Tiggerchen\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tiggerchen\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\TIGGER~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




SmitFraudFix v2.81

Scan done at 14:20:33,59, 28.08.2006
Run from C:\Dokumente und Einstellungen\Tiggerchen\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End







so das waren die logs.. hab noch dr.web durchlaufen lassen (schnelldurchlauf) und er hat nix gefunden...
Dieser Beitrag wurde am 28.08.2006 um 14:38 Uhr von BloodySun editiert.
Seitenanfang Seitenende
28.08.2006, 15:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 BloodySun

gehe in den abgesicherten modus und loesche:

C:\Programme\Gemeinsame Dateien\fiuk

**
dann poste erneut das log von Combofix, ich will nachprufen, ob alles wieder o.k. ist....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 18:01
Member

Themenstarter

Beiträge: 47
#5 Hier ist der Combofix Report!! Wie werd ich das QOObox purity los? auch im abgesicherten Modus löschen?


Tiggerchen - 06-08-28 17:56:15,67
ComboFix 06.08.27BT - Running from: C:\Dokumente und Einstellungen\Tiggerchen\Eigene Dateien\downloads

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\ToolBar888
C:\Programme\Gemeinsame Dateien\{D4E9EF65-0A27-1031-0611-030308210031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\tracert.exe
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1\?hkdsk.exe


((((((((((((((((((((((((((((((( Files Created from 2006-07-28 to 2006-08-28 ))))))))))))))))))))))))))))))))))


2006-08-28 14:03 40,973 ---hs---- C:\WINDOWS\system32\qommkkk.dll
2006-08-28 13:19 922,966 ---hs---- C:\WINDOWS\system32\ggjlm.bak1
2006-08-28 13:19 573,492 ---hs---- C:\WINDOWS\system32\mljgg.dll
2006-08-28 13:19 13,844 --a------ C:\WINDOWS\system32\busvniul.exe
2006-08-27 23:09 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2006-08-02 06:49 128,232 --a------ C:\WINDOWS\system32\mucltui.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-28 17:58 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-28 17:57 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-28 12:38 -------- d-------- C:\Programme\Roguescanfix
2006-08-28 11:14 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-08-28 07:50 -------- d-------- C:\Programme\Spyware Doctor
2006-08-28 00:44 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\PC Tools
2006-08-27 21:14 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Skype
2006-08-26 15:09 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-15 13:54 -------- d-------- C:\Programme\Silkroad
2006-08-12 21:20 -------- d-------- C:\Programme\Yahoo!
2006-08-09 07:11 -------- d-------- C:\Programme\Internet Explorer
2006-08-03 03:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-01 22:20 -------- d-------- C:\Programme\Jowood
2006-08-01 16:02 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-25 13:43 -------- d---s---- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Microsoft
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-19 22:19 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\MSN6
2006-07-18 06:28 -------- d-------- C:\Programme\CloneDVD
2006-07-13 06:01 -------- d-------- C:\Programme\AOL
2006-07-10 16:38 51072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-07-10 16:38 30592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-07-03 07:35 -------- d-------- C:\Programme\MSN Messenger
2006-07-02 18:55 -------- d-------- C:\Programme\DivX
2006-07-02 11:46 -------- d-------- C:\Programme\ANNO 1602 K”nigs-Edition
2006-07-01 00:56 245408 --a------ C:\WINDOWS\system32\unicows.dll
2006-06-30 06:46 -------- d-------- C:\Programme\Hex-Editor MX
2006-06-29 10:25 -------- d-------- C:\Programme\Gemeinsame Dateien\Scanner
2006-06-29 10:17 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-06-27 03:32 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-06-27 03:32 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-06-27 03:32 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-06-27 03:32 620180 --a------ C:\WINDOWS\system32\DivX.dll
2006-06-21 12:49 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2006-06-21 12:43 520192 --a------ C:\WINDOWS\system32\DivXsm.exe
2006-06-21 12:43 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-06-21 12:42 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-06-21 12:42 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-06-21 12:34 90112 --a------ C:\WINDOWS\system32\dpl100.dll
2006-06-21 12:34 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2006-06-21 12:34 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-06-21 12:34 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-06-21 12:34 200704 --a------ C:\WINDOWS\system32\dtu100.dll
2006-06-21 12:33 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2006-06-21 12:33 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{668B1E21-4DE0-450A-AB10-121220442EA6}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0B\\aoltray.exe -check"
"item"="AOL 9.0 Tray-Symbol"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 9.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Tray-Symbol.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpohmr08.exe "
"item"="hp psc 1000 series"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hp psc 1000 series.lnk"
"backup"="C:\\WINDOWS\\pss\\hp psc 1000 series.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe "
"item"="hpoddt01.exe"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\WinZip Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\ATI-CPanel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\HostManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLSoftware"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1148487240\\ee\\AOLSoftware.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\InCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InCD"
"hkey"="HKLM"
"inimapping"="0"
"command"="C:\\Programme\\Ahead\\InCD\\InCD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IncrediMail]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IncMail"
"hkey"="HKCU"
"command"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IPHSend]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IPHSend"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\IPHSend\\IPHSend.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\STYLEXP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="StyleXP"
"hkey"="HKCU"
"command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="YAHOOM~1"
"hkey"="HKCU"
"command"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qommkkk
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winetn32


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1140504007.job

Completion time: 28.08.2006 18:00:05.73
ComboFix.txt
ComboFix2.txt
ComboFix3.txt
Dieser Beitrag wurde am 28.08.2006 um 18:11 Uhr von BloodySun editiert.
Seitenanfang Seitenende
28.08.2006, 21:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qommkkk
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winetn32

Files to delete:
C:\WINDOWS\system32\qommkkk.dll
C:\WINDOWS\system32\ggjlm.bak1
C:\WINDOWS\system32\mljgg.dll
C:\WINDOWS\system32\busvniul.exe
poste das log vom avenger, nach dem neustart + das neue log von combofix + noch mal die 4 logs von datfidbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 21:35
Member

Themenstarter

Beiträge: 47
#7 Hier erst mal den Log vom Avenger.. der Rest gleich im Edit...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yhihkwpj

*******************

Script file located at: \??\C:\nalhodcb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\qommkkk.dll deleted successfully.
File C:\WINDOWS\system32\ggjlm.bak1 deleted successfully.
File C:\WINDOWS\system32\mljgg.dll deleted successfully.
File C:\WINDOWS\system32\busvniul.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgg deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qommkkk deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winetn32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Combofix:

Tiggerchen - 06-08-28 21:36:10,10
ComboFix 06.08.27BT - Running from: C:\Dokumente und Einstellungen\Tiggerchen\Eigene Dateien\downloads

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\tracert.exe
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1\?hkdsk.exe


((((((((((((((((((((((((((((((( Files Created from 2006-07-28 to 2006-08-28 ))))))))))))))))))))))))))))))))))


2006-08-27 23:09 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2006-08-02 06:49 128,232 --a------ C:\WINDOWS\system32\mucltui.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-28 21:35 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-28 17:58 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-28 12:38 -------- d-------- C:\Programme\Roguescanfix
2006-08-28 11:14 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-08-28 07:50 -------- d-------- C:\Programme\Spyware Doctor
2006-08-28 00:44 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\PC Tools
2006-08-27 21:14 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Skype
2006-08-26 15:09 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-15 13:54 -------- d-------- C:\Programme\Silkroad
2006-08-12 21:20 -------- d-------- C:\Programme\Yahoo!
2006-08-09 07:11 -------- d-------- C:\Programme\Internet Explorer
2006-08-03 03:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-01 22:20 -------- d-------- C:\Programme\Jowood
2006-08-01 16:02 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-25 13:43 -------- d---s---- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Microsoft
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-19 22:19 -------- d-------- C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\MSN6
2006-07-18 06:28 -------- d-------- C:\Programme\CloneDVD
2006-07-13 06:01 -------- d-------- C:\Programme\AOL
2006-07-10 16:38 51072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-07-10 16:38 30592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-07-03 07:35 -------- d-------- C:\Programme\MSN Messenger
2006-07-02 18:55 -------- d-------- C:\Programme\DivX
2006-07-02 11:46 -------- d-------- C:\Programme\ANNO 1602 K”nigs-Edition
2006-07-01 00:56 245408 --a------ C:\WINDOWS\system32\unicows.dll
2006-06-30 06:46 -------- d-------- C:\Programme\Hex-Editor MX
2006-06-29 10:25 -------- d-------- C:\Programme\Gemeinsame Dateien\Scanner
2006-06-29 10:17 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-06-27 03:32 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-06-27 03:32 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-06-27 03:32 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-06-27 03:32 620180 --a------ C:\WINDOWS\system32\DivX.dll
2006-06-21 12:49 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2006-06-21 12:43 520192 --a------ C:\WINDOWS\system32\DivXsm.exe
2006-06-21 12:43 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-06-21 12:42 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-06-21 12:42 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-06-21 12:34 90112 --a------ C:\WINDOWS\system32\dpl100.dll
2006-06-21 12:34 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2006-06-21 12:34 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-06-21 12:34 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-06-21 12:34 200704 --a------ C:\WINDOWS\system32\dtu100.dll
2006-06-21 12:33 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2006-06-21 12:33 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{668B1E21-4DE0-450A-AB10-121220442EA6}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0B\\aoltray.exe -check"
"item"="AOL 9.0 Tray-Symbol"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 9.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Tray-Symbol.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpohmr08.exe "
"item"="hp psc 1000 series"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hp psc 1000 series.lnk"
"backup"="C:\\WINDOWS\\pss\\hp psc 1000 series.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe "
"item"="hpoddt01.exe"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
"location"="Common Startup"
"command"="C:\\PROGRA~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\WinZip Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\ATI-CPanel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\HostManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLSoftware"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1148487240\\ee\\AOLSoftware.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\InCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InCD"
"hkey"="HKLM"
"inimapping"="0"
"command"="C:\\Programme\\Ahead\\InCD\\InCD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IncrediMail]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IncMail"
"hkey"="HKCU"
"command"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IPHSend]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IPHSend"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\IPHSend\\IPHSend.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\STYLEXP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="StyleXP"
"hkey"="HKCU"
"command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="YAHOOM~1"
"hkey"="HKCU"
"command"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"inimapping"="0"



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1140504007.job

Completion time: 28.08.2006 21:38:12.42
ComboFix.txt
ComboFix2.txt
ComboFix3.txt


DatFind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\WINDOWS\system32

28.08.2006 21:35 2.206 wpa.dbl
28.08.2006 21:34 32.101 ikhcore.log
28.08.2006 21:32 926.018 ggjlm.ini
28.08.2006 11:14 34.308 BASSMOD.dll
11.08.2006 08:56 384.596 perfh009.dat
11.08.2006 08:56 54.280 perfc009.dat
11.08.2006 08:56 396.012 perfh007.dat
11.08.2006 08:56 65.470 perfc007.dat
11.08.2006 08:56 903.750 PerfStringBackup.INI
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:30 3.079.168 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:42 617.472 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:41 336.896 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
01.07.2006 00:56 245.408 unicows.dll
27.06.2006 03:32 778.240 divx_xx07.dll
27.06.2006 03:32 778.240 divx_xx0c.dll
27.06.2006 03:32 761.856 divx_xx11.dll
27.06.2006 03:32 620.180 DivX.dll
27.06.2006 03:28 704.512 divxdec.ax
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:25 1.497.088 shdocvw.dll
23.06.2006 13:25 474.624 shlwapi.dll
23.06.2006 13:25 670.208 wininet.dll
23.06.2006 13:25 96.768 inseng.dll
23.06.2006 13:25 146.432 msrating.dll
23.06.2006 13:25 15.872 jsproxy.dll
23.06.2006 13:25 357.888 dxtmsft.dll
23.06.2006 13:25 39.424 pngfilt.dll
23.06.2006 13:25 448.512 mshtmled.dll
23.06.2006 13:25 251.904 iepeers.dll
23.06.2006 13:25 205.312 dxtrans.dll
23.06.2006 13:25 532.480 mstime.dll
23.06.2006 13:25 55.808 extmgr.dll
23.06.2006 13:25 152.064 cdfview.dll
23.06.2006 13:25 1.022.976 browseui.dll
23.06.2006 13:25 1.056.256 danim.dll
23.06.2006 11:09 104.960 xpsp3res.dll
21.06.2006 12:49 53.248 dpuGUI10.dll
21.06.2006 12:43 4.276 divxsm.tlb
21.06.2006 12:43 520.192 DivXsm.exe
21.06.2006 12:43 10.863 dsm_ja.qm
21.06.2006 12:43 15.507 dsm_de.qm
21.06.2006 12:43 15.299 dsm_fr.qm
21.06.2006 12:43 3.596.288 qt-dx331.dll
21.06.2006 12:42 1.044.480 libdivx.dll
21.06.2006 12:42 200.704 ssldivx.dll
21.06.2006 12:34 90.112 dpl100.dll
21.06.2006 12:34 593.920 dpuGUI11.dll
21.06.2006 12:34 200.704 dtu100.dll
21.06.2006 12:34 344.064 dpus11.dll
21.06.2006 12:34 57.344 dpv11.dll
21.06.2006 12:34 294.912 dpu11.dll
21.06.2006 12:34 294.912 dpu10.dll
21.06.2006 12:33 12.288 DivXWMPExtType.dll
21.06.2006 12:33 118.784 DivXCodecUpdateChecker.exe
21.06.2006 12:33 8.523 dpude.qm
21.06.2006 12:33 3.136 dtu_de.qm
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\

28.08.2006 21:39 0 sys.txt
28.08.2006 21:39 9.349 system.txt
28.08.2006 21:39 136 systemtemp.txt
28.08.2006 21:39 104.566 system32.txt
28.08.2006 21:38 13.205 ComboFix.txt
28.08.2006 21:34 2.158 avenger.txt
28.08.2006 21:34 1.153.433.600 pagefile.sys
28.08.2006 18:00 13.836 ComboFix2.txt
28.08.2006 14:21 883 rapport4b.txt
28.08.2006 14:21 883 rapport.txt
28.08.2006 14:15 1.096 rapport4.txt
28.08.2006 14:14 1.065 rapport3.txt
28.08.2006 14:13 2.596 avenger2.txt
28.08.2006 13:59 15.525 ComboFix3.txt
28.08.2006 12:07 3.600 smitfiles.txt
28.08.2006 12:02 1.727 rapport2.txt
28.08.2006 11:56 1.915 rapport1.txt
28.08.2006 11:34 1.560 VundoFix.txt
26.08.2006 16:16 522 hpfr3420.xml
26.08.2006 16:16 63.394 hpfr3425.log
12.08.2006 21:20 150 YServer.txt
12.08.2006 12:20 211 boot.ini
03.08.2006 20:10 201 DMF2_WKLog.txt
31.05.2006 15:28 211 Kopie von boot.ini
31.05.2006 10:55 1.142 drvpnp.dat
31.05.2006 10:55 683 pnpID.dat
31.05.2006 10:55 39 CTJINI.INI
31.05.2006 10:52 91 temp.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\DOKUME~1\TIGGER~1\LOKALE~1\Temp



Volumeseriennummer: D4E9-EF65

Verzeichnis von C:\WINDOWS

28.08.2006 21:35 0 0.log
28.08.2006 21:35 157 wiadebug.log
28.08.2006 21:35 4.618 ModemLog_Smart Link 56K Modem.txt
28.08.2006 21:35 1.333.845 WindowsUpdate.log
28.08.2006 21:34 50 wiaservc.log
28.08.2006 21:34 2.048 bootstat.dat
28.08.2006 21:33 32.618 SchedLgU.Txt
28.08.2006 20:48 192 winamp.ini
28.08.2006 20:03 981 win.ini
28.08.2006 17:53 716.848 ntbtlog.txt
28.08.2006 14:20 191.621 setupact.log
27.08.2006 23:40 524.584 setupapi.log
27.08.2006 18:41 850 videoimp.ini
27.08.2006 18:16 54.156 QTFont.qfn
12.08.2006 12:20 227 system.ini
09.08.2006 07:13 124.018 iis6.log
09.08.2006 07:13 212.754 comsetup.log
09.08.2006 07:13 130.250 ntdtcsetup.log
09.08.2006 07:13 30.096 ocmsn.log
09.08.2006 07:13 315.134 tsoc.log
09.08.2006 07:13 1.355 imsins.log
09.08.2006 07:13 18.884 KB920214.log
09.08.2006 07:13 409.213 ocgen.log
09.08.2006 07:13 40.825 msgsocm.log
09.08.2006 07:13 854.437 FaxSetup.log
09.08.2006 07:12 1.355 imsins.BAK
09.08.2006 07:12 20.585 KB921883.log
09.08.2006 07:12 47.627 updspapi.log
09.08.2006 07:12 18.354 KB922616.log
09.08.2006 07:12 18.813 KB921398.log
09.08.2006 07:11 36.022 KB918899.log
09.08.2006 07:10 14.090 KB920670.log
09.08.2006 07:10 14.148 KB917422.log
09.08.2006 07:09 14.484 KB920683.log
03.08.2006 03:12 34.802 spupdsvc.log
03.08.2006 03:02 18.607 WgaNotify.log
01.08.2006 22:48 3.415 DirectX.log
21.07.2006 00:35 45.661 wmsetup.log
21.07.2006 00:09 1.409 QTFont.for
12.07.2006 03:01 13.137 KB917159.log
12.07.2006 03:01 13.703 KB914388.log
12.07.2006 03:01 11.797 KB916595.log
25.06.2006 21:46 1.550 ATIWDM.LOG
25.06.2006 21:39 176 WININIT.INI
16.06.2006 16:19 2.906 COM+.log
15.06.2006 03:01 19.560 KB917734.log
15.06.2006 03:01 29.717 KB918439.log
15.06.2006 03:01 30.392 KB917344.log
15.06.2006 03:01 30.950 KB917953.log
15.06.2006 03:01 29.225 KB911280.log
15.06.2006 03:00 38.568 KB916281.log
15.06.2006 03:00 24.417 KB914389.log
14.06.2006 07:40 3.766 mozver.dat
04.06.2006 18:50 4.096 d3dx.dat



weiss nu net ob die Reihenfolge von datfind stimmt (bin irgendwie durcheinandergekommen bei den reitern) aber es sind alle vier...
Dieser Beitrag wurde am 28.08.2006 um 21:43 Uhr von BloodySun editiert.
Seitenanfang Seitenende
28.08.2006, 21:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
avenger

Zitat

Files to delete:

C:\WINDOWS\system32\ggjlm.ini
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 21:55
Member

Themenstarter

Beiträge: 47
#9

Zitat

Sabina postete
1.
avenger

Zitat

Files to delete:

C:\WINDOWS\system32\ggjlm.ini
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint


*ööööhm* nu kapier ich nur Bahnhof =(




ah okay... also der Avenger log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jkwhwhnv

*******************

Script file located at: \??\C:\WINDOWS\system32\nicbffdr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ggjlm.ini deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




und das andere schick ich dir per PM weil da noch privates drinsteht das nicht jeder aus dem Forum lesen muss... wenns recht ist...
Dieser Beitrag wurde am 28.08.2006 um 22:02 Uhr von BloodySun editiert.
Seitenanfang Seitenende
28.08.2006, 22:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 o.k. schicke es per PM, ich nehme dann nur raus, was mit den Viren zu tun hat ;)
oder poste es als Anhang (siehe unten), das kannst du dann spaeter auch selbst loeschen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 22:06
Member

Themenstarter

Beiträge: 47
#11 schon als zwei pms versendet ;)
Seitenanfang Seitenende
28.08.2006, 22:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 der purityscan muesste raus sein, jedenfalls aus den Dateien, ob nun noch einer woanders steckt, wo ich nicht nachgegraben habe ?? ;)

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 22:16
Member

Themenstarter

Beiträge: 47
#13 also... wenn ich in c/ gehe dann ist da ein Ordner "Qoobox".. wenn ich den öffne ist nen ordner drin names "purity" und in dem ordner nochmal 2 Ordner "Dokumente u Einstellungen" und "Windows" udn da halt noch mehr drin...
Seitenanfang Seitenende
28.08.2006, 22:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 das ist die Quarantaene von der Combofix - loesche den Ordner ;)

Zitat

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\ICROSO~1.NET
C:\QooBox\Purity\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\ICROSO~1.NET\tracert.exe
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1
C:\QooBox\Purity\WINDOWS\system32\WNSXS~1\?hkdsk.exe
dann mache den Onlinescan und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2006, 22:31
Member

Themenstarter

Beiträge: 47
#15 Incident Status Location

Potentially unwanted tool:application/winfixer2005 Not disinfected c:\windows\downloaded program files\UWA6PU_0001_N91M2107NetInstaller.exe
Potentially unwanted tool:application/funweb Not disinfected hkey_current_user\software\Fun Web Products
Potentially unwanted tool:application/mywebsearch Not disinfected hkey_local_machine\software\FocusInteractive
Adware:adware/sqwire Not disinfected Windows Registry
Adware:Adware/SystemDoctor Not disinfected C:\avenger\backup-28.08.2006-21.34.47,34.zip[avenger/b43178a6.exe]
Adware:Adware/SystemDoctor Not disinfected C:\avenger\backup-28.08.2006-21.34.47,34.zip[avenger/b43178a6.exe-ren-850]
Virus:Trj/Downloader.KAM Disinfected C:\avenger\backup-28.08.2006-21.34.47,34.zip[avenger/g14090390.dll]
Adware:Adware/SecurityError Not disinfected C:\avenger\backup-28.08.2006-21.34.47,34.zip[avenger/ishost.exe]
Spyware:Spyware/Virtumonde Not disinfected C:\avenger\backup-28.08.2006-21.34.47,34.zip[avenger/opnopop.dll]
Virus:Trj/MezziaCodec.A Disinfected C:\avenger\backup-28.08.2006-21.34.47,34.zip[avenger/winetn32.dll]
Spyware:Spyware/Virtumonde Not disinfected C:\avenger\backup-28.08.2006-21.58.37,07.zip[avenger/qommkkk.dll]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Mozilla\Firefox\Profiles\m130nc4x.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Mozilla\Firefox\Profiles\m130nc4x.default\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Mozilla\Firefox\Profiles\m130nc4x.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Mozilla\Firefox\Profiles\m130nc4x.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Mozilla\Firefox\Profiles\m130nc4x.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Mozilla\Firefox\Profiles\m130nc4x.default\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Anwendungsdaten\Mozilla\Firefox\Profiles\m130nc4x.default\cookies.txt[.2o7.net/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@2o7[1].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@adtech[1].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@atdmt[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@mediaplex[1].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@stats1.reliablestats[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Dokumente und Einstellungen\Tiggerchen\Cookies\tiggerchen@weborama[2].txt
Seitenanfang Seitenende