Virus durch MSN, hijack logs!

#0
29.08.2006, 15:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 1.
CleanUp anwenden
http://virus-protect.org/cleanup.html

2.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

3.
dann scanne noch mal mit deinem Virenscanner
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.08.2006, 16:32
Member

Themenstarter

Beiträge: 30
#17 Datenträgerbereinigung = Defragmentierung?

ich find die Einstellungen nicht, mein PC ist aus Französisch^^
Seitenanfang Seitenende
29.08.2006, 17:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 in Franzoesisch kann ich dir nicht helfen
http://virus-protect.org/temp.html

du musst das uebersetzen, um hinzukoemmen:

Start, zeigen auf Programme, zeigen auf Zubehör, zeigen auf Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.08.2006, 00:26
Member

Themenstarter

Beiträge: 30
#19 jo hab das gemacht...Virus is noch da
Seitenanfang Seitenende
30.08.2006, 00:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 1.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\Documents and Settings\Jeff Schneider\Local Settings\Temporary Internet Files\Content.lE5\2OM9EH86\mtrslib2[1].js
C:\Documents and Settings\Jeff Schneider\Local Settings\Temp\installer.exe
C:\Documents and Settings\Jeff Schneider\Xinstall.exe
C:\Documents and Settings\Jeff Schneider\girl7232.PIF
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\Xinstall.exe
C:\Xinstall.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
kopiere hier den report vom avenger, der nach neustart erscheint


2.
mit dem HijackThis fixen:

O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\Jeff Schneider\Xinstall.exe


3.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

4.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

(ewido erkennt:

C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WLU30HQN\Xinstall[1].exe -> Heuristic.Win32.Morphine-Crypted
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.08.2006, 01:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#21 Las mal bei http://www.virustotal.com/en/indexf.html
C:\Documents and Settings\Jeff Schneider\Xinstall.exe
testen und poste das log
__________
MfG Argus
Seitenanfang Seitenende
30.08.2006, 10:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ja, das hab ich uebersehen, danke Arnold, ist ein Virus.
aus einem anderen Forum:

Zitat

Hab neulich einen Link über MSN bekommen mit so nem hinweis auf ne seite.War was mit girl7232. Ich bin drauf gegangen und es hat sich nur kurz was installiert und zwar ist das einmal die datei girl7232. dies ist eine Verknüpfung mit einer Anwendung von MS-DOS. Diese lässt sich aber nicht löschen da der Rechner meint sie würde gerade gebraucht werden.Diese girl Datie erstellt so alle 10 - 20 Minuten eine exe datei mit dem Namen Xinstall die sich genau so wenig öffnen lässt wie die Anwendung spr4 die auch erstellt wird.Wenn ich jetzt in MSN gehe schickt sich dieser Link selbständig alle 5 Minuten an alle Benutzer die derzeitig bei mir on sind.Und das gleich doppelt.Habe schon die neuste Version von AntiVir drüber laufen lassen aber er findet nichts.

C:\Dokumente und Einstellungen\User\Desktop\girl7232.PIF
C:\Dokumente und Einstellungen\User\Desktop\Xinstall.exe
C:\Documents and Settings\Jeff Schneider\Xinstall.exe

allerdings, scheint Dr.web das erkannt, aber nicht geloescht zu haben: ????

Zitat

[Scanner un chemin] C:\Documents and Settings\Jeff Schneider\Xinstall.exe
>>C:\Documents and Settings\Jeff Schneider\Xinstall.exe probablement infecté par DLOADER.Trojan
ich habe es nun oben mit in den Avenger gepackt.... ;)

-------------------------------

Xinstall.exe

Zitat

Complete scanning result of "xinstall.exe", received in VirusTotal at 08.20.2006, 20:58:00 (CET).
Antivirus Version Update Result
AntiVir 6.35.1.3 08.20.2006 HEUR/Crypted.Modified
Authentium 4.93.8 08.19.2006 no virus found
Avast 4.7.844.0 08.18.2006 Win32:Agent-AEH
AVG 386 08.18.2006 May be infected by unknown virus .MPH
BitDefender 7.2 08.20.2006 Dropped:Trojan.Downloader.Purityscan.U
CAT-QuickHeal 8.00 08.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.20.2006 no virus found
DrWeb 4.33 08.20.2006 DLOADER.Trojan
eTrust-InoculateIT 23.72.102 08.20.2006 no virus found
eTrust-Vet 30.3.3026 08.18.2006 no virus found
Ewido 4.0 08.20.2006 Heuristic.Win32.Morphine-Crypted
Fortinet 2.77.0.0 08.20.2006 W32/NewThreat!Morphine
F-Prot 3.16f 08.18.2006 no virus found
F-Prot4 4.2.1.29 08.19.2006 Possibly a new unknown PE_Virus!Maximus
Ikarus 0.2.65.0 08.18.2006 no virus found
Kaspersky 4.0.2.24 08.20.2006 Trojan-Dropper.Win32.PurityScan.m
McAfee 4832 08.18.2006 New Malware.h
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1716 08.20.2006 a variant of Win32/TrojanDropper.PurityScan
Norman 5.90.23 08.18.2006 W32/Suspicious_N.gen
Panda 9.0.0.4 08.20.2006 Suspicious file
Sophos 4.08.0 08.20.2006 no virus found
Symantec 8.0 08.20.2006 no virus found
TheHacker 5.9.8.195 08.18.2006 no virus found
UNA 1.83 08.18.2006 no virus found
VBA32 3.11.0 08.20.2006 suspected of Embedded.Installer.Adware.PurityScan
VirusBuster 4.3.7:9 08.20.2006 no virus found
Aditional Information
File size: 62976 bytes
MD5: d3a4975ed3b0f6c29ccc41ea20cb957b
SHA1: 854d64be90750f66eebf39a61054dded997b5204
packers: Morphine, UPX
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.08.2006, 18:28
Member

Themenstarter

Beiträge: 30
#23 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gdikrjum

*******************

Script file located at: \??\C:\Documents and Settings\kerikdat.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\Jeff Schneider\Local Settings\Temporary Internet Files\Content.lE5\2OM9EH86\mtrslib2[1].js for deletion
Deletion of file C:\Documents and Settings\Jeff Schneider\Local Settings\Temporary Internet Files\Content.lE5\2OM9EH86\mtrslib2[1].js failed!

Could not process line:
C:\Documents and Settings\Jeff Schneider\Local Settings\Temporary Internet Files\Content.lE5\2OM9EH86\mtrslib2[1].js
Status: 0xc000003a



Could not open file C:\Documents and Settings\Jeff Schneider\Local Settings\Temp\installer.exe for deletion
Deletion of file C:\Documents and Settings\Jeff Schneider\Local Settings\Temp\installer.exe failed!

Could not process line:
C:\Documents and Settings\Jeff Schneider\Local Settings\Temp\installer.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Jeff Schneider\Xinstall.exe for deletion
Deletion of file C:\Documents and Settings\Jeff Schneider\Xinstall.exe failed!

Could not process line:
C:\Documents and Settings\Jeff Schneider\Xinstall.exe
Status: 0xc000003a



Could not open file C:\Documents and Settings\Jeff Schneider\girl7232.PIF for deletion
Deletion of file C:\Documents and Settings\Jeff Schneider\girl7232.PIF failed!

Could not process line:
C:\Documents and Settings\Jeff Schneider\girl7232.PIF
Status: 0xc000003a

File C:\Program Files\MSN Messenger\msnmsgr.exe deleted successfully.


File C:\WINDOWS\system32\Xinstall.exe not found!
Deletion of file C:\WINDOWS\system32\Xinstall.exe failed!

Could not process line:
C:\WINDOWS\system32\Xinstall.exe
Status: 0xc0000034



File C:\Xinstall.exe not found!
Deletion of file C:\Xinstall.exe failed!

Could not process line:
C:\Xinstall.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


COMBOFIX


Jeff Schneider - 06-08-30 18:31:16,98
ComboFix 06.08.27BT - Running from: C:\Documents and Settings\Jeff Schneider\Mes documents

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\ToolBar888
C:\Program Files\Fichiers communs\{D0533078-0A70-2060-0911-020816020160}


((((((((((((((((((((((((((((((( Files Created from 2006-07-30 to 2006-08-30 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-30 18:33 -------- d-------- C:\Program Files\Fichiers communs
2006-08-30 18:25 -------- d-------- C:\Program Files\MSN Messenger
2006-08-29 13:59 -------- d-------- C:\Program Files\CleanUp!
2006-08-28 12:07 -------- d-------- C:\Program Files\Saypad
2006-08-28 12:06 73216 --a------ C:\WINDOWS\ST6UNST.EXE
2006-08-28 12:06 249856 --------- C:\WINDOWS\Setup1.exe
2006-08-28 10:10 -------- d-------- C:\Program Files\Messenger Plus! Live
2006-08-26 18:22 -------- d-------- C:\Program Files\iPod
2006-08-15 12:01 -------- d-------- C:\Program Files\Internet Explorer
2006-08-01 08:52 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-08-01 08:51 -------- d-------- C:\Program Files\FlightGear
2006-08-01 08:50 -------- d-------- C:\Program Files\Winamp
2006-07-31 09:59 -------- d-------- C:\Program Files\fotokasten
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:26 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-22 15:50 -------- d-------- C:\Program Files\Red Chair Software
2006-07-22 15:50 -------- d-------- C:\Documents and Settings\Jeff Schneider\Application Data\Red Chair Software
2006-07-21 10:27 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-17 16:42 -------- d-------- C:\Documents and Settings\Jeff Schneider\Application Data\vlc
2006-07-17 16:40 -------- d-------- C:\Program Files\VideoLAN
2006-07-17 11:44 -------- d-------- C:\Program Files\XviD
2006-07-17 11:34 -------- d-------- C:\Documents and Settings\Jeff Schneider\Application Data\Winamp
2006-07-08 15:14 -------- d-------- C:\Program Files\ICQToolbar
2006-07-07 23:28 -------- d-------- C:\Program Files\ICQLite
2006-07-07 16:47 -------- d-------- C:\Program Files\QuickTime
2006-07-07 16:43 -------- d-------- C:\Program Files\iTunes
2006-07-05 15:04 110080 --a------ C:\WINDOWS\system32\drivers\dptrackerd.sys
2006-06-08 21:43 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-06-08 13:21 1386496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2006-05-08 17:45 47633576 --a------ C:\Program Files\iPodSetup.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"nwiz"="nwiz.exe /install"
"Dit"="Dit.exe"
"NeroCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"Agent"="C:\\Program Files\\Medion\\PowerCinema\\My_TV\\Agent.exe"
"CapFax"="C:\\Program Files\\Classic PhoneTools\\CapFax.EXE"
"Microsoft Works Update Detection"="C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"Ulead AutoDetector"="C:\\Program Files\\Ulead Systems\\Ulead Photo Explorer 8.0 SE Basic\\Monitor.exe"
"Ulead Photo Express 5 SE Calendar Checker"="C:\\Program Files\\Ulead Systems\\Ulead Photo Express 5 SE\\calcheck.exe"
"iconcache"=""
"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"C:\\Program Files\\ICQLite\\ICQLite.exe\" -minimize"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MoneyAgent"="\"C:\\Program Files\\Microsoft Money\\System\\mnyexpr.exe\""
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"FreeRAM XP"="\"C:\\Program Files\\YourWare Solutions\\FreeRAM XP Pro\\FreeRAM XP Pro.exe\" -win"
"STYLEXP"="C:\\Program Files\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://digitalart.org/artwork.jpeg.php?ID=45766"
"SubscribedURL"="http://digitalart.org/artwork.jpeg.php?ID=45766"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,a5,01,00,00,e7,00,00,00,9e,00,00,00,94,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,12,03,00,00,17,01,00,00,20,03,00,00,58,02,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,09,03,41,c0,ab,74,38,68,8a,12,68,de,09,03,20,6d,\
09,03,ab,75,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="http://funfair02.free.fr/pictures/WPfouer03L.jpg"
"SubscribedURL"="http://funfair02.free.fr/pictures/WPfouer03L.jpg"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,dd,00,00,00,29,00,00,00,9e,00,00,00,94,00,00,00,ea,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,00
"OriginalStateInfo"=hex:18,00,00,00,15,02,00,00,29,00,00,00,00,05,00,00,c0,03,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,c3,0e,41,c0,ab,74,08,c0,61,0c,68,de,c3,0e,20,6d,\
c3,0e,1e,a4,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,55,00,00,00,00,00,00,00,ab,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,55,00,00,00,00,00,00,00,ab,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Completion time: 30.08.2006 18:33:53.78
ComboFix.txt
ComboFix2.txt


---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 18:58:08 30.08.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource.1 -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource\CLSID -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource\CurVer -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
C:\WINDOWS\Downloaded Program Files\amm06.ocx -> Adware.MediaMotor : Keine Aktion durchgeführt.
C:\WINDOWS\Downloaded Program Files\imloader.exe -> Not-A-Virus.Downloader.Win32.ImLoader.c : Keine Aktion durchgeführt.
C:\WINDOWS\Downloaded Program Files\speedtest2.dll -> Not-A-Virus.Downloader.Win32.InsTool.a : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@ads-205.quarterserver[1].txt -> TrackingCookie.Quarterserver : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@statcounter[2].txt -> TrackingCookie.Statcounter : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@weborama[2].txt -> TrackingCookie.Weborama : Keine Aktion durchgeführt.
C:\Documents and Settings\Jeff Schneider\Cookies\jeff schneider@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Keine Aktion durchgeführt.


::Berichtende


Jetzt geht mein Windows Live Messenger nicht mehr, wenn ich es anklicke öffnet sich Windows Installer und sagt dass Installation unmöglich ist weil eine sounddatei fehlt??? (Avance AC'97 Audio)

Und hier noch VIRUSTOTAL:

STATUS: FINISHEDComplete scanning result of "Xinstall.exe", received in VirusTotal at 08.30.2006, 19:01:27 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.11 08.30.2006 HEUR/Crypted
Authentium 4.93.8 08.30.2006 no virus found
Avast 4.7.844.0 08.30.2006 Win32:Agent-AEH
AVG 386 08.30.2006 May be infected by unknown virus .MPH
BitDefender 7.2 08.30.2006 Dropped:Trojan.Downloader.Purityscan.U
CAT-QuickHeal 8.00 08.30.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.30.2006 no virus found
DrWeb 4.33 08.30.2006 Trojan.PurityAd
eTrust-InoculateIT 23.72.110 08.30.2006 no virus found
eTrust-Vet 30.3.3051 08.30.2006 no virus found
Ewido 4.0 08.25.2006 Heuristic.Win32.Morphine-Crypted
Fortinet 2.77.0.0 08.30.2006 W32/NewThreat!Morphine
F-Prot 3.16f 08.29.2006 no virus found
F-Prot4 4.2.1.29 08.30.2006 Possibly a new unknown PE_Virus!Maximus
Ikarus 0.2.65.0 08.30.2006 no virus found
Kaspersky 4.0.2.24 08.30.2006 Trojan-Dropper.Win32.PurityScan.m
McAfee 4841 08.30.2006 New Malware.h
Microsoft 1.1560 08.30.2006 no virus found
NOD32v2 1.1732 08.30.2006 a variant of Win32/TrojanDropper.PurityScan
Norman 5.90.23 08.30.2006 W32/Suspicious_N.gen
Panda 9.0.0.4 08.30.2006 Suspicious file
Sophos 4.09.0 08.30.2006 no virus found
Symantec 8.0 08.30.2006 no virus found
TheHacker 5.9.8.201 08.28.2006 no virus found
UNA 1.83 08.30.2006 no virus found
VBA32 3.11.1 08.30.2006 Trojan-Dropper.Win32.PurityScan.m
VirusBuster 4.3.7:9 08.30.2006 no virus found


Aditional Information
File size: 62976 bytes
MD5: d3a4975ed3b0f6c29ccc41ea20cb957b
SHA1: 854d64be90750f66eebf39a61054dded997b5204
packers: Morphine, UPX

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees
Dieser Beitrag wurde am 30.08.2006 um 19:30 Uhr von hry5 editiert.
Seitenanfang Seitenende
30.08.2006, 22:53
Member

Themenstarter

Beiträge: 30
#24 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ajmxquew

*******************

Script file located at: \??\C:\WINDOWS\vdemmjpp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Downloaded Program Files\amm06.ocx not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\amm06.ocx failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\amm06.ocx
Status: 0xc0000034

File C:\WINDOWS\Downloaded Program Files\imloader.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\speedtest2.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

äh, ich hab jetzt das gemacht was vorhin da stand, das mit dem msn, habs neu installiert klappt wieder, weiss net welche cd das sein soll
Seitenanfang Seitenende
30.08.2006, 22:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 1.
Den folgenden Text in den Editor (Start - Zubehör - Notepad) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Program Files\MSN Messenger" >>files.txt
notepad files.txt
2.
scanne noch mal mit ewido, aber lasse alles loeschen....Keine Aktion durchgeführt.- ist nicht angebracht....

3.
installiere die die Software von Avance AC'97 Audio neu. du hast eine cd, wo das drauf ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.08.2006, 23:06
Member

Themenstarter

Beiträge: 30
#26 Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est D053-3078

R‚pertoire de C:\WINDOWS\Downloaded Program Files

08.05.2006 01:54 1˙417 amm06.inf
26.09.2002 16:43 220 MetaStream3.inf
20.01.2000 15:25 1˙162 Microsoft XML Parser for Java.osd
12.04.2006 15:39 372˙736 MsnPUpld.dll
12.04.2006 15:38 393 MsnPUpld.inf
31.05.2002 09:19 117˙328 purde-de.dll
12.04.2006 15:38 110˙592 PURen-us.dll
10.07.2004 12:45 144˙272 QuickTimeInstallCache.qdat
27.08.2005 14:30 5˙065 swflash.inf
30.06.2003 23:41 1˙689 WMV9VCM.inf
10 fichier(s) 754˙874 octets
0 R‚p(s) 24˙418˙164˙736 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est D053-3078

R‚pertoire de C:\Program Files\MSN Messenger

30.08.2006 21:52 <REP> .
30.08.2006 21:52 <REP> ..
29.07.2006 19:35 312˙616 abssm.dll
29.07.2006 19:34 156˙968 contact.dll
29.07.2006 19:35 257˙832 contactsUX.dll
31.05.2006 14:35 40˙824 custsat.dll
30.08.2006 21:52 <REP> Device Manager
29.07.2006 19:35 1˙602˙344 dfsr.dll
30.08.2006 22:55 1˙637 ErrorResponse.xml
29.07.2006 19:34 186˙664 fsshext.8.0.0812.00.dll
29.07.2006 19:32 20˙264 highcont.thm
19.07.2006 13:25 1˙678˙600 lcapi.dll
31.05.2006 14:35 389˙912 lcres.dll
31.05.2006 14:31 49˙161 license.rtf
29.07.2006 19:35 409˙384 lmcdata.dll
31.05.2006 14:30 35˙616 MessengerClient.dll
29.07.2006 19:32 53˙032 msgrapp.8.0.0812.00.dll
29.07.2006 19:35 210˙216 msgsc.8.0.0812.00.dll
29.07.2006 19:36 1˙822˙504 msgslang.dll
29.07.2006 19:33 2˙274˙088 msgsres.dll
29.07.2006 19:35 657˙192 msgswcam.dll
17.04.2006 13:32 812˙368 msidcrl40.dll
16.07.2006 20:46 71˙256 msimg32.dll
24.01.2006 21:23 7˙094˙272 msn.exe
29.07.2006 18:16 1˙002˙280 msncall.exe
29.07.2006 18:16 76˙072 msncallres.dll
29.07.2006 19:35 929˙576 msncore.dll
29.07.2006 19:33 5˙354˙792 msnmsgr.exe
12.07.2006 02:14 419˙624 msvs.exe
12.07.2006 07:44 3˙241 msvsConfig2.xml
28.06.2006 02:01 51˙488 msvsui.dll
31.05.2006 14:35 11˙027 newalert.wma
31.05.2006 14:35 20˙039 newemail.wma
31.05.2006 14:35 17˙035 nudge.wma
31.05.2006 14:35 17˙077 online.wma
31.05.2006 14:35 35˙059 outgoing.wma
29.07.2006 18:16 53˙544 pcsdll.dll
31.05.2006 14:35 32˙055 phone.wma
29.07.2006 19:32 54˙568 psmsong.8.0.0812.00.dll
19.07.2006 13:25 3˙851˙024 RTMPLTFM.dll
31.05.2006 14:35 14˙031 type.wma
29.07.2006 19:34 117˙544 usnsvc.dll
29.07.2006 19:32 52˙008 usnsvcps.dll
31.05.2006 14:35 11˙027 vimdone.wma
29.07.2006 19:34 166˙696 wmp8stub.dll
31.05.2006 14:36 1˙565˙480 wmv9vcm.dll
43 fichier(s) 31˙992˙037 octets
3 R‚p(s) 24˙418˙164˙736 octets libres


gibt es die software nirgends zu downloaden?? :S


MsnMsgr.Exe|C:\Program Files\MSN Messenger\MsnMsgr.Exe|Microsoft Corporation
MSNCore.dll|C:\Program Files\MSN Messenger\MSNCore.dll|Microsoft Corporation
msidcrl40.dll|C:\Program Files\MSN Messenger\msidcrl40.dll|Microsoft Corporation
ContactsUX.dll|C:\Program Files\MSN Messenger\ContactsUX.dll|Microsoft Corporation
msgslang.dll|C:\Program Files\MSN Messenger\msgslang.dll|Microsoft Corporation
msgsres.dll|C:\Program Files\MSN Messenger\msgsres.dll|Microsoft Corporation
lmcdata.dll|C:\Program Files\MSN Messenger\lmcdata.dll|Microsoft Corporation
contact.dll|C:\Program Files\MSN Messenger\contact.dll|Microsoft Corporation
MSGSWCAM.dll|C:\Program Files\MSN Messenger\MSGSWCAM.dll|Microsoft Corporation
sirenacm.dll|C:\WINDOWS\system32\sirenacm.dll|Microsoft Corp.
abssm.dll|C:\Program Files\MSN Messenger\abssm.dll|Microsoft Corporation


der scan hat keine bedrohung mehr gefunden!
Dieser Beitrag wurde am 30.08.2006 um 23:50 Uhr von hry5 editiert.
Seitenanfang Seitenende
30.08.2006, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 geh in das backup vom Avenger, findest du in C:\Avenger\backup.zip - musst du entpacken, denn es ist eine zip

dort findest du eine msnmsgr.exe
kopiere sie in C:\Program Files\MSN Messenger\

dann starte den Rechner neu und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2006, 11:32
Member

Themenstarter

Beiträge: 30
#28 Jo alles normal...


aber es öffnet sich noch immer Windows Installer :

und will Windows Microsoft Office 2000 Premium neuinstallieren....?!
Seitenanfang Seitenende
31.08.2006, 12:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 und wenn du es neuinstallierst ? Funktioniert es ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2006, 13:19
Member

Themenstarter

Beiträge: 30
#30 Ich hab es versucht mit ner CD von nem anderen aber da kommt immer so ne Meldung das nur eeine msi datei oder so fehlt...mom ich such den namen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: