Home » Viren, Trojaner & Malware Forum » Vundo.Gen in Datei ssqpm.dll - PCK.KLONE.G36 in Datei winemx32.dll » Themenansicht

Vundo.Gen in Datei ssqpm.dll - PCK.KLONE.G36 in Datei winemx32.dll

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.09.2006, 19:13
sir_norman
...neu hier

Beiträge: 3
#1 Liebes Forum,
auch ich habe Probleme mit:
Vundo.Gen in Datei ssqpm.dll - PCK.KLONE.G36 in Datei winemx32.dll
im ordner system 32 ...

Vundofix hat leider nichts bewirkt.

anbei die logs, die hoffentlich zur fehlerbehenung beitragen können.

vielen dank im voraus für eure hilfe.



Logfile of HijackThis v1.99.1
Scan saved at 17:48:44, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\isnotify.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\DTV\RemoteControl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Ralf\Eigene Dateien\ralf_privat\downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3A6516CF-CB2C-43F2-B969-44E35CB3C452} - C:\WINDOWS\system32\ssqpm.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPI Tray.lnk = C:\Programme\Intelligent ISDN Utilities\ccmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{48DEAB57-8587-4071-8A26-00A44D2D9D05}: NameServer = 194.25.2.129,212.185.45.190
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ssqpm - C:\WINDOWS\system32\ssqpm.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winemx32 - C:\WINDOWS\SYSTEM32\winemx32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ralf - 06-09-03 18:33:27,31
ComboFix 06.08.30BT - Running from: E:\

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\isnotify.exe
C:\Programme\Safety Bar
C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-08-03 to 2006-09-03 ))))))))))))))))))))))))))))))))))


2006-09-03 12:37 176,128 --a------ C:\WINDOWS\system32\urroxtl.dll
2006-08-27 12:05 806,121 ---hs---- C:\WINDOWS\system32\mpqss.bak2
2006-08-26 17:54 629,859 ---hs---- C:\WINDOWS\system32\mpqss.bak1
2006-08-26 17:54 573,492 --------- C:\WINDOWS\system32\ssqpm.dll
2006-08-26 17:48 18,944 --------- C:\WINDOWS\system32\winemx32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-03 17:53 -------- d-------- C:\Programme\CleanUp!
2006-09-03 17:20 -------- d-------- C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\Skype
2006-08-26 23:29 44494 --a------ C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\wklnhst.dat
2006-08-26 18:45 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-08-26 18:45 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-26 18:39 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-08-26 18:35 -------- d-------- C:\Programme\Adobe
2006-08-15 14:30 -------- d-------- C:\Programme\Internet Explorer
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-19 23:06 -------- d-------- C:\Programme\Skype
2006-07-17 22:08 -------- d-------- C:\Programme\DTV
2006-07-09 15:58 85392 --a------ C:\Dokumente und Einstellungen\Ralf\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-07-09 13:42 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-06-25 10:29 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
@=""
"Norton Ghost 9.0"="C:\\Programme\\Symantec\\Norton Ghost\\Agent\\GhostTray.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"DTVRemote"="\"C:\\Programme\\DTV\\RemoteControl.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winemx32


Completion time: 03.09.2006 18:57:32.70
ComboFix.txt


Datentr„ger in Laufwerk C: ist 25-01-42
Volumeseriennummer: C88D-B1CE

Verzeichnis von C:\WINDOWS

03.09.2006 18:54 0 0.log
03.09.2006 18:54 4.052 ModemLog_Smart Link 56K Modem.txt
03.09.2006 18:54 1.176.490 WindowsUpdate.log
03.09.2006 18:53 2.048 bootstat.dat
03.09.2006 18:52 267.226 ntbtlog.txt
03.09.2006 18:17 32.622 SchedLgU.Txt
03.09.2006 16:18 424 drwatson.log
29.08.2006 09:42 155 NeroDigital.ini
26.08.2006 17:26 1.409 QTFont.for
26.08.2006 17:26 54.156 QTFont.qfn
15.08.2006 22:51 929.811 setupapi.log
15.08.2006 14:32 70.322 iis6.log
15.08.2006 14:32 179.678 tsoc.log
15.08.2006 14:32 158.701 comsetup.log
15.08.2006 14:32 1.374 imsins.log
15.08.2006 14:32 24.938 ocmsn.log
15.08.2006 14:32 95.807 ntdtcsetup.log
15.08.2006 14:32 19.758 KB920214.log
15.08.2006 14:32 229.974 ocgen.log
15.08.2006 14:32 22.791 msgsocm.log
15.08.2006 14:32 459.403 FaxSetup.log
15.08.2006 14:32 1.374 imsins.BAK
15.08.2006 14:32 19.580 KB921883.log
15.08.2006 14:32 26.129 updspapi.log
15.08.2006 14:32 19.725 KB922616.log
15.08.2006 14:32 19.353 KB921398.log


Datentr„ger in Laufwerk C: ist 25-01-42
Volumeseriennummer: C88D-B1CE

Verzeichnis von C:\DOKUME~1\Ralf\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist 25-01-42
Volumeseriennummer: C88D-B1CE

Verzeichnis von C:\

03.09.2006 19:04 0 sys.txt
03.09.2006 19:04 9.967 system.txt
03.09.2006 19:04 127 systemtemp.txt
03.09.2006 19:04 100.346 system32.txt
03.09.2006 18:53 519.491.584 hiberfil.sys
03.09.2006 18:53 780.140.544 pagefile.sys
03.09.2006 17:17 550 VundoFix.txt


Datentr„ger in Laufwerk C: ist 25-01-42
Volumeseriennummer: C88D-B1CE

Verzeichnis von C:\WINDOWS\system32

03.09.2006 19:04 1.982 mpqss.ini
03.09.2006 18:55 1.158 wpa.dbl
03.09.2006 18:54 54.112 vsconfig.xml
03.09.2006 12:37 176.128 urroxtl.dll
03.09.2006 12:37 4.286 ot.ico
03.09.2006 12:37 4.286 ts.ico
01.09.2006 00:01 806.121 mpqss.bak2
30.08.2006 00:08 4.212 zllictbl.dat
27.08.2006 11:01 309.192 FNTCACHE.DAT
26.08.2006 17:54 629.859 mpqss.bak1
26.08.2006 17:54 573.492 ssqpm.dll
26.08.2006 17:48 18.944 winemx32.dll
09.08.2006 21:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
16.07.2006 11:53 382.026 perfh009.dat
Seitenanfang Seitenende
03.09.2006, 19:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 sir_norman

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3A6516CF-CB2C-43F2-B969-44E35CB3C452}
HKEY_CLASSES_ROOT\CLSID\{3A6516CF-CB2C-43F2-B969-44E35CB3C452}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3A6516CF-CB2C-43F2-B969-44E35CB3C452}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winemx32

Files to delete:
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\system32\urroxtl.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mpqss.bak2
C:\WINDOWS\system32\mpqss.bak1
C:\WINDOWS\system32\ssqpm.dll
C:\Programme\Safety Bar\Safety Bar.dll
C:\Programme\Safety Bar\Uninstall.bat
C:\WINDOWS\system32\winemx32.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
smitfraud.fix anwenden
http://virus-protect.org/artikel/tools/smitfrautfix.html


**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {3A6516CF-CB2C-43F2-B969-44E35CB3C452} - C:\WINDOWS\system32\ssqpm.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

O20 - Winlogon Notify: ssqpm - C:\WINDOWS\system32\ssqpm.dll
O20 - Winlogon Notify: winemx32 - C:\WINDOWS\SYSTEM32\winemx32.dll

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll

PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.09.2006, 21:39
sir_norman
...neu hier

Themenstarter

Beiträge: 3
#3 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\CLSID\{3A6516CF-CB2C-43F2-B969-44E35CB3C452}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{052b12f7-86fa-4921-8482-26c42316b522}


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\thokbewb

*******************

Script file located at: \??\C:\WINDOWS\system32\hybbgmnt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\mpqss.ini deleted successfully.
File C:\WINDOWS\system32\urroxtl.dll deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\mpqss.bak2 deleted successfully.
File C:\WINDOWS\system32\mpqss.bak1 deleted successfully.
File C:\WINDOWS\system32\ssqpm.dll deleted successfully.


Could not open file C:\Programme\Safety Bar\Safety Bar.dll for deletion
Deletion of file C:\Programme\Safety Bar\Safety Bar.dll failed!

Could not process line:
C:\Programme\Safety Bar\Safety Bar.dll
Status: 0xc000003a



Could not open file C:\Programme\Safety Bar\Uninstall.bat for deletion
Deletion of file C:\Programme\Safety Bar\Uninstall.bat failed!

Could not process line:
C:\Programme\Safety Bar\Uninstall.bat
Status: 0xc000003a

File C:\WINDOWS\system32\winemx32.dll deleted successfully.


Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3A6516CF-CB2C-43F2-B969-44E35CB3C452} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3A6516CF-CB2C-43F2-B969-44E35CB3C452} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3A6516CF-CB2C-43F2-B969-44E35CB3C452} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3A6516CF-CB2C-43F2-B969-44E35CB3C452} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Bar not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Bar failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpm deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winemx32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


SUPERAntiSpyware Scan Log
Generated 09/03/2006 at 09:33 PM

Core Rules Database Version : 2847
Trace Rules Database Version: 1028

Memory Thread detected : 0
Registry Thread detected : 2
File Thread detected : 4

Adware.WhenU
HKCR\WUSN.1
HKCR\WUSN.1#WUSN_Id
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP87\A0030533.exe
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP87\A0030536.exe

Trojan.Security Toolbar
C:\Dokumente und Einstellungen\Ralf\Favoriten\Antivirus Test Online.url

Trojan.SpyFalcon
C:\Avenger\urroxtl.dll



danke für die hilfe bisher,
grüsse
Seitenanfang Seitenende
03.09.2006, 22:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 sir_norman

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scanne und berichte (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

3.
aktiviere die systemwiederherstellung wieder
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 23:47
sir_norman
...neu hier

Themenstarter

Beiträge: 3
#5 vielen herzlichen dank,

bin jetzt seit einer 1/2 stunde trojanerfrei und das arbeiten am rechner macht wieder spass. sabina, du hast einen super job geleistet!!!

grüsse,
sir norman
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1