TR/Vundo.gen in ssqpn.dll

Thema ist geschlossen!
Thema ist geschlossen!
#0
04.09.2006, 17:57
...neu hier
Avatar DarthKitty

Beiträge: 5
#1 Ich bekomme ständig von AntiVir diese Meldung, kann jedoch nichts mit/gegen die Datei ssqpn.dll in system32 unternehmen. Ich weiß nicht, was es macht, aber es macht mich langsam verrückt. Beim Versuch, mit killbox etwas zu erreichen, stürzt immer alles ab. Mein Browser ist Firefox.
Ich habe dieses Vieh schon seit ner Weile, bitte helft mir!

Hier meine ganzen Logs und Scans:


______________________________________________virustotal.com____________________________________________

Complete scanning result of "ssqpn.dll", received in VirusTotal at 09.04.2006, 16:58:45 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
packers: PecBundle, PECompact

_________________________________________________HijackThis________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 16:45:34, on 4.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\rainlendar\Rainlendar.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legend-green-dragon.de/logd/index.php?op=timeout
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit Rainlendar.lnk = C:\Programme\rainlendar\Rainlendar.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

____________CleanUp!______________________________________
An dieser Stelle durchgeführt, aber sicher nicht zu posten, denke ich -.-


______________________________________________________________Combofix____________________________________________________-

Li2 - 06-09-04 17:30:16.53
ComboFix 06.09.04BT - Running from: C:\Dokumente und Einstellungen\Li2\Desktop

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-04 to 2006-09-04 ))))))))))))))))))))))))))))))))))


2006-08-17 21:55 13,844 --a------ C:\WINDOWS\system32\ujtdtcdp.exe
2006-08-16 21:55 12,820 --a------ C:\WINDOWS\system32\obgwadyh.exe
2006-08-13 11:41 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2006-08-13 11:41 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2006-08-13 11:41 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2006-08-13 11:41 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2006-08-12 21:54 867,507 ---hs---- C:\WINDOWS\system32\npqss.bak2
2006-08-12 09:54 573,492 --------- C:\WINDOWS\system32\ssqpn.dll
2006-08-12 09:54 307,523 ---hs---- C:\WINDOWS\system32\npqss.bak1
2006-08-12 09:34 40,973 ---hs---- C:\WINDOWS\system32\pmnllij.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-04 17:28 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-04 17:15 -------- d-------- C:\Programme\CleanUp!
2006-09-04 17:05 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-09-03 17:37 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-09-03 17:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-03 12:39 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Azureus
2006-09-03 12:25 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\X-Chat 2
2006-09-03 12:18 -------- d-------- C:\Programme\X-Chat 2
2006-09-03 10:26 -------- d-------- C:\Programme\Catz
2006-08-31 15:46 -------- d-------- C:\Programme\ICQLite
2006-08-30 20:13 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-29 22:06 -------- d-------- C:\Programme\ICQToolbar
2006-08-28 16:24 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQ Toolbar
2006-08-23 17:14 -------- d-------- C:\Programme\Azureus
2006-08-20 15:05 -------- d-------- C:\Programme\Alcohol Toolbar
2006-08-19 16:49 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\dvdcss
2006-08-15 08:56 -------- d-------- C:\Programme\UltraISO
2006-08-14 20:45 -------- d-------- C:\Programme\Smart Projects
2006-08-14 19:02 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-08-14 19:02 -------- d-------- C:\Programme\Alcohol Soft
2006-08-14 18:58 96256 --a------ C:\WINDOWS\system32\drivers\sptd6941.sys
2006-08-14 18:58 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-08-14 13:18 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-14 13:18 -------- d-------- C:\Programme\mobile PhoneTools
2006-08-14 12:55 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQLite
2006-08-13 01:55 -------- d-------- C:\Programme\Internet Explorer
2006-08-11 15:28 -------- d-------- C:\Programme\Opera
2006-07-31 18:33 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\vlc
2006-07-31 18:08 -------- d-------- C:\Programme\VideoLAN
2006-07-30 16:16 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-07-27 22:17 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Rainlendar
2006-07-27 22:15 -------- d-------- C:\Programme\rainlendar
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-24 14:34 433664 --a------ C:\WINDOWS\system32\ss2uinst.exe
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"atwtusb"="atwtusb.exe beta"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"MaxRecentDocs"=dword:0000000f

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e0,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ctfmon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"Ulead AutoDetector v2"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: Mon 04.09.2006 17:32:51.75
ComboFix.txt
ComboFix2.txt

________________________________________________datfind.bat____________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\WINDOWS\system32

04.09.2006 17:37 1.808 npqss.ini
04.09.2006 17:25 41.106 vsconfig.xml
03.09.2006 13:04 867.507 npqss.bak2
03.09.2006 12:41 149.992 FNTCACHE.DAT
27.08.2006 18:54 2.206 wpa.dbl
17.08.2006 21:55 13.844 ujtdtcdp.exe
16.08.2006 21:55 12.820 obgwadyh.exe

13.08.2006 00:35 8.116 d3d9caps.dat
12.08.2006 09:54 307.523 npqss.bak1
12.08.2006 09:54 573.492 ssqpn.dll
12.08.2006 09:34 40.973 pmnllij.dll

09.08.2006 21:03 8.325.544 MRT.exe
30.07.2006 16:16 57.384 avsda.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
24.07.2006 14:34 433.664 ss2uinst.exe
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 10:53 27.136 xpsp3res.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\DOKUME~1\Li2\LOKALE~1\Temp

04.09.2006 17:25 16.384 ~DF6277.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 4.653.707.264 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\WINDOWS

04.09.2006 17:31 2.086.009 WindowsUpdate.log
04.09.2006 17:25 0 0.log
04.09.2006 17:24 2.048 bootstat.dat
04.09.2006 17:23 32.630 SchedLgU.Txt
04.09.2006 16:38 516.330 ntbtlog.txt
04.09.2006 16:15 54.156 QTFont.qfn
01.09.2006 23:37 413 wiadebug.log
01.09.2006 23:12 135 NeroDigital.ini
01.09.2006 23:05 50 wiaservc.log
01.09.2006 17:14 18.007 setupapi.log
30.08.2006 17:36 700 win.ini
30.08.2006 17:36 227 system.ini
21.08.2006 20:38 30 Iedit.INI
20.08.2006 13:04 10.946 ModemLog_Motorola USB Modem #2.txt
13.08.2006 22:40 6.904 WGA.log
13.08.2006 01:56 1.374 imsins.BAK
25.07.2006 11:14 8.569 mozver.dat
07.07.2006 19:19 515 gsb99.ini
12.06.2006 12:48 1.409 QTFont.for


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\

04.09.2006 17:39 0 sys.txt
04.09.2006 17:39 4.282 system.txt
04.09.2006 17:38 290 systemtemp.txt
04.09.2006 17:37 101.724 system32.txt
04.09.2006 17:32 8.442 ComboFix.txt
04.09.2006 17:29 155 ComboFix2.txt
04.09.2006 17:24 536.399.872 hiberfil.sys
04.09.2006 17:24 805.306.368 pagefile.sys
30.08.2006 17:36 211 boot.ini
14.08.2006 13:19 0 DBS.TXT
13.08.2006 09:06 490 VundoFix.txt

_______________________________________________________________________________
Seitenanfang Seitenende
04.09.2006, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ss2uinst.exe

-------------------------------------------------------------

1.
vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

Files to delete:
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\ujtdtcdp.exe
C:\WINDOWS\system32\obgwadyh.exe
C:\WINDOWS\system32\npqss.bak1
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\pmnllij.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 00:44
Member

Beiträge: 29
#3 Hallo zusammen!
Habe mir heute selbiges Problem eingefangen und wollte keinen neuen Thread aufmachen.
Bin durch die Google-Suche hier gelandet und schon seit Stunden dabei alle erforderlichen Daten zusammenzustellen, dass hier die Fachmänner/ -frauen mir ebenfalls weiterhelfen können.
Bei mir befindet sich ebenfalls der TR/Vundo.Gen in c:\windows\system32\nnnml.dll...... Antivir kann die Datei nicht entfernen... benötige Eure HILFE. Danke schon mal im Voraus.

--> Wie kann man dem in Zukunft vorbeugen?


HIJACK-Log

Logfile of HijackThis v1.99.1
Scan saved at 23:48:08, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {82147DC5-0BB6-42CF-B887-867C0AF7D649} - C:\WINDOWS\system32\nnnml.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47748D78-D8C3-4E6A-9A7D-1332C69B0FDC}: NameServer = 195.50.140.250 195.50.140.114
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - C:\Programme\Batty2\Batty2.dll
O20 - AppInit_DLLs: BattyRun2.dll
O20 - Winlogon Notify: nnnml - C:\WINDOWS\system32\nnnml.dll
O20 - Winlogon Notify: winawg32 - C:\WINDOWS\SYSTEM32\winawg32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

CLEANUP wurde wie beschrieben durchgeführt ! ! !

CamboFix Log

Administrator - 06-09-05 0:10:14,62
ComboFix 06.09.04BT - Running from: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop

Microsoft Windows XP [Version 5.1.2600]

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\BattyRun.dll
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-08-05 to 2006-09-05 ))))))))))))))))))))))))))))))))))


2006-09-04 21:01 692,276 --------- C:\WINDOWS\system32\nnnml.dll
2006-09-04 21:01 451,802 ---hs---- C:\WINDOWS\system32\lmnnn.bak1
2006-09-04 20:57 4,608 --a------ C:\WINDOWS\system32\ismini.exe
2006-09-04 20:55 18,944 --a------ C:\WINDOWS\system32\winawg32.dll
2006-08-07 17:17 61,440 --a------ C:\WINDOWS\system32\BattyRun2.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-04 23:51 -------- d-------- C:\Programme\CleanUp!
2006-09-04 15:03 -------- d-------- C:\Programme\eDonkey2000
2006-08-30 21:53 -------- d-------- C:\Programme\Trillian
2006-08-29 20:46 -------- d-------- C:\Programme\Real
2006-08-29 20:43 774144 --a------ C:\Programme\RngInterstitial.dll
2006-08-29 20:43 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-08-29 20:42 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-24 01:18 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-24 01:18 -------- d-------- C:\Programme\Cornelsen
2006-08-22 17:47 -------- d-------- C:\Programme\SPAMfighter
2006-08-19 01:16 17744 --a------ C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-07-16 18:48 1073152 --a------ C:\WINDOWS\system32\FreeImage.dll
2006-07-09 15:17 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-07-09 15:16 -------- d-------- C:\Programme\QuickTime
2006-07-09 14:27 -------- d-------- C:\Programme\Lavasoft
2006-07-09 14:27 -------- d-------- C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Anwendungsdaten\Lavasoft


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"VVSN"="C:\\Programme\\VVSN\\VVSN.exe"
"SPAMfighter Agent"="\"C:\\Programme\\SPAMfighter\\SFAgent.exe\" update delay 60"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"Steam"=""
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NVMCTRAY.DLL,NvTaskbarInit"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:b1,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnml
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winawg32


Completion time: 05.09.2006 0:14:54.56
ComboFix.txt


Logfiles von datFind

Verzeichnis von C:\WINDOWS\system32

05.09.2006 00:21 457.483 lmnnn.ini
04.09.2006 23:21 100 eicxemru.txt
04.09.2006 21:50 18.944 ixt0.dll_tobedeleted
04.09.2006 21:50 4.608 ismini.exe
04.09.2006 21:01 451.802 lmnnn.bak1
04.09.2006 21:01 692.276 nnnml.dll
04.09.2006 20:59 176.128 urroxtl.dll_tobedeleted
04.09.2006 20:59 4.286 ot.ico
04.09.2006 20:55 18.944 winawg32.dll
01.09.2006 21:58 2.206 wpa.dbl
29.08.2006 20:43 278.528 pncrt.dll
24.08.2006 09:20 115.768 FNTCACHE.DAT
07.08.2006 17:17 61.440 BattyRun2.dll
03.08.2006 05:49 311.604 perfh009.dat
03.08.2006 05:49 39.992 perfc009.dat
03.08.2006 05:49 316.594 perfh007.dat
03.08.2006 05:49 48.156 perfc007.dat
03.08.2006 05:49 723.744 PerfStringBackup.INI
16.07.2006 18:48 1.073.152 FreeImage.dll
14.07.2006 17:38 332.288 netapi32.dll
07.07.2006 03:21 6.757.792 MRT.exe
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
22.06.2006 12:47 181.248 rasmans.dll
02.06.2006 11:04 57.384 avsda.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll


Verzeichnis von C:\DOKUME~1\ADMINI~1.DID\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS

05.09.2006 00:05 0 0.log
05.09.2006 00:05 1.965.078 WindowsUpdate.log
05.09.2006 00:03 2.048 bootstat.dat
05.09.2006 00:02 32.626 SchedLgU.Txt
01.09.2006 22:27 116 NeroDigital.ini
22.08.2006 00:49 788 wiadebug.log
21.08.2006 21:30 50 wiaservc.log
16.08.2006 20:58 4.260 KB921398.log
16.08.2006 20:58 7.736 KB918899.log
15.08.2006 19:21 9.438 KB917422.log
15.08.2006 19:20 3.649 KB920670.log
14.08.2006 12:14 3.501 KB920214.log
14.08.2006 12:14 9.177 KB922616.log
12.08.2006 14:39 658.157 iis6.log
12.08.2006 14:39 174.554 comsetup.log
12.08.2006 14:39 109.687 ntdtcsetup.log
12.08.2006 14:39 1.374 imsins.log
12.08.2006 14:39 244.763 tsoc.log
12.08.2006 14:39 27.651 ocmsn.log
12.08.2006 14:39 25.185 tabletoc.log
12.08.2006 14:39 15.632 KB920683.log
12.08.2006 14:39 41.462 medctroc.Log
12.08.2006 14:39 282.075 ocgen.log
12.08.2006 14:39 88.703 netfxocm.log
12.08.2006 14:39 26.454 msgsocm.log
12.08.2006 14:39 486.555 FaxSetup.log
12.08.2006 14:39 187.636 msmqinst.log
12.08.2006 14:39 28.291 updspapi.log
11.08.2006 23:59 1.374 imsins.BAK
11.08.2006 23:59 15.521 KB921883.log
02.08.2006 22:23 11.851 KB917159.log
02.08.2006 22:23 12.386 KB914388.log
02.08.2006 22:23 10.391 KB916595.log
28.07.2006 11:43 2.490 cdPlayer.ini
19.07.2006 23:03 4.903 setupapi.log
29.06.2006 01:04 12.130 KB911280.log
23.06.2006 15:37 102.864 spupdsvc.log
21.06.2006 15:02 11.178 KB917734.log
21.06.2006 15:02 35.504 wmsetup.log
21.06.2006 15:01 15.774 KB918439.log
21.06.2006 15:01 16.133 KB917344.log
21.06.2006 15:01 15.949 KB917953.log
21.06.2006 15:00 19.833 KB916281.log
21.06.2006 15:00 13.841 KB914389.log
13.06.2006 08:33 1.067.392 setupapi.log.0.old
14.05.2006 21:48 13.345 KB913580.log


Verzeichnis von C:\

05.09.2006 00:27 0 sys.txt
05.09.2006 00:26 8.949 system.txt
05.09.2006 00:25 140 systemtemp.txt
05.09.2006 00:22 5.915 ComboFix.txt
05.09.2006 00:21 99.603 system32.txt
05.09.2006 00:03 267.964.416 hiberfil.sys
05.09.2006 00:03 503.316.480 pagefile.sys
04.09.2006 23:36 3.224 avenger.txt
18.09.2005 03:46 211 boot.ini
18.09.2005 03:26 47.564 NTDETECT.COM
18.09.2005 03:26 251.184 ntldr
17.09.2005 12:12 0 MSDOS.SYS
17.09.2005 12:12 0 CONFIG.SYS
17.09.2005 12:12 0 IO.SYS
17.09.2005 12:12 0 AUTOEXEC.BAT
18.08.2001 12:00 4.952 bootfont.bin
16 Datei(en) 771.702.638 Bytes
0 Verzeichnis(se), 2.841.268.224 Bytes frei
Seitenanfang Seitenende
05.09.2006, 06:46
...neu hier

Themenstarter
Avatar DarthKitty

Beiträge: 5
#4 Aaaaaalso,
die Meldung erscheint nicht mehr beim Start. Ich hoffe, alles is nu wieder sauber. Was soll ich tun, damit sowas nicht wieder kommt? Ich hatte im Oktober 3 Viren, wovon ich den hier einfach nicht wegbekam. Das war wie verhext...
___________________________virustotal________________________________
Complete scanning result of "ss2uinst.exe", received in VirusTotal at 09.05.2006, 06:11:48 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.04.2006 no virus found
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.04.2006 no virus found
BitDefender 7.2 09.05.2006 no virus found
CAT-QuickHeal 8.00 09.04.2006 no virus found
ClamAV devel-20060426 09.05.2006 no virus found
DrWeb 4.33 09.04.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3061 09.04.2006 no virus found
Ewido 4.0 09.04.2006 no virus found
Fortinet 2.77.0.0 09.04.2006 no virus found
F-Prot 3.16f 09.04.2006 no virus found
F-Prot4 4.2.1.29 09.04.2006 no virus found
Ikarus 0.2.65.0 09.04.2006 no virus found
Kaspersky 4.0.2.24 09.05.2006 no virus found
McAfee 4844 09.04.2006 no virus found
Microsoft 1.1560 09.03.2006 no virus found
NOD32v2 1.1739 09.04.2006 no virus found
Norman 5.90.23 09.04.2006 no virus found
Panda 9.0.0.4 09.04.2006 no virus found
Sophos 4.09.0 09.05.2006 no virus found
Symantec 8.0 09.05.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.05.2006 no virus found
VBA32 3.11.1 09.04.2006 no virus found
VirusBuster 4.3.7:9 09.03.2006 no virus found

Aditional Information
File size: 433664 bytes
MD5: 6ce24cb20bfd9b7e55205be71def8847
SHA1: a166a66e75b278bbab1c5dfc571bd43b129cee54

_______________________________________avengar_______________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vymbitpg

*******************

Script file located at: \??\C:\WINDOWS\rmeqftu^.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\npqss.ini deleted successfully.


File C:\WINDOWS\system32\ujtdtcdp.exe not found!
Deletion of file C:\WINDOWS\system32\ujtdtcdp.exe failed!

Could not process line:
C:\WINDOWS\system32\ujtdtcdp.exe
Status: 0xc0000034



File C:\WINDOWS\system32\obgwadyh.exe not found!
Deletion of file C:\WINDOWS\system32\obgwadyh.exe failed!

Could not process line:
C:\WINDOWS\system32\obgwadyh.exe
Status: 0xc0000034

File C:\WINDOWS\system32\npqss.bak1 deleted successfully.
File C:\WINDOWS\system32\ssqpn.dll deleted successfully.


File C:\WINDOWS\system32\pmnllij.dll not found!
Deletion of file C:\WINDOWS\system32\pmnllij.dll failed!

Could not process line:
C:\WINDOWS\system32\pmnllij.dll
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

_____________________________________________________________HJT_______________________
Logfile of HijackThis v1.99.1
Scan saved at 06:32:20, on 5.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\rainlendar\Rainlendar.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legend-green-dragon.de/logd/index.php?op=timeout
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1D97BD8E-2A85-4B65-8BE1-743DF7F21431} - C:\WINDOWS\system32\wmipropd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A088D5BE-8A00-48CF-AF8D-DC0528A300A7} - C:\WINDOWS\system32\ssqpn.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Verknüpfung mit Rainlendar.lnk = C:\Programme\rainlendar\Rainlendar.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


_________________________________________________________________combofix__________________________
Li2 - 06-09-05 6:34:34,67
ComboFix 06.09.04BT - Running from: C:\Dokumente und Einstellungen\Li2\Desktop

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-05 to 2006-09-05 ))))))))))))))))))))))))))))))))))


2006-08-13 11:41 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2006-08-13 11:41 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2006-08-13 11:41 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2006-08-13 11:41 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2006-08-12 21:54 871,480 ---hs---- C:\WINDOWS\system32\npqss.bak2


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-05 06:28 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-04 17:49 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-09-04 17:15 -------- d-------- C:\Programme\CleanUp!
2006-09-03 17:37 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-09-03 17:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-03 12:39 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Azureus
2006-09-03 12:25 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\X-Chat 2
2006-09-03 12:18 -------- d-------- C:\Programme\X-Chat 2
2006-09-03 10:26 -------- d-------- C:\Programme\Catz
2006-08-31 15:46 -------- d-------- C:\Programme\ICQLite
2006-08-30 20:13 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-29 22:06 -------- d-------- C:\Programme\ICQToolbar
2006-08-28 16:24 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQ Toolbar
2006-08-23 17:14 -------- d-------- C:\Programme\Azureus
2006-08-20 15:05 -------- d-------- C:\Programme\Alcohol Toolbar
2006-08-19 16:49 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\dvdcss
2006-08-15 08:56 -------- d-------- C:\Programme\UltraISO
2006-08-14 20:45 -------- d-------- C:\Programme\Smart Projects
2006-08-14 19:02 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-08-14 19:02 -------- d-------- C:\Programme\Alcohol Soft
2006-08-14 18:58 96256 --a------ C:\WINDOWS\system32\drivers\sptd6941.sys
2006-08-14 18:58 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-08-14 13:18 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-14 13:18 -------- d-------- C:\Programme\mobile PhoneTools
2006-08-14 12:55 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQLite
2006-08-13 01:55 -------- d-------- C:\Programme\Internet Explorer
2006-08-11 15:28 -------- d-------- C:\Programme\Opera
2006-07-31 18:33 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\vlc
2006-07-31 18:08 -------- d-------- C:\Programme\VideoLAN
2006-07-30 16:16 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-07-27 22:17 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Rainlendar
2006-07-27 22:15 -------- d-------- C:\Programme\rainlendar
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-24 14:34 433664 --a------ C:\WINDOWS\system32\ss2uinst.exe
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"atwtusb"="atwtusb.exe beta"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"MaxRecentDocs"=dword:0000000f

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e0,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ctfmon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"Ulead AutoDetector v2"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: Tue 05.09.2006 6:35:12.81
ComboFix.txt
ComboFix2.txt
ComboFix3.txt
______________________________________________datfindbat______________________________________________
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\WINDOWS\system32

05.09.2006 06:27 41.106 vsconfig.xml
04.09.2006 18:58 871.480 npqss.bak2
03.09.2006 12:41 149.992 FNTCACHE.DAT
27.08.2006 18:54 2.206 wpa.dbl
13.08.2006 00:35 8.116 d3d9caps.dat
09.08.2006 21:03 8.325.544 MRT.exe
30.07.2006 16:16 57.384 avsda.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
24.07.2006 14:34 433.664 ss2uinst.exe
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 10:53 27.136 xpsp3res.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\DOKUME~1\Li2\LOKALE~1\Temp

05.09.2006 06:27 16.384 ~DFF331.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 5.791.744.000 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\WINDOWS

05.09.2006 06:33 1.064.323 WindowsUpdate.log
05.09.2006 06:29 0 setuperr.log
05.09.2006 06:29 60 setupact.log
05.09.2006 06:27 0 0.log
05.09.2006 06:26 2.048 bootstat.dat
05.09.2006 06:25 32.630 SchedLgU.Txt
04.09.2006 22:03 54.156 QTFont.qfn
04.09.2006 19:57 547 wiadebug.log
04.09.2006 19:57 30 Iedit.INI
04.09.2006 19:53 50 wiaservc.log
04.09.2006 16:38 516.330 ntbtlog.txt
01.09.2006 23:12 135 NeroDigital.ini
01.09.2006 17:14 18.007 setupapi.log
30.08.2006 17:36 700 win.ini
30.08.2006 17:36 227 system.ini
20.08.2006 13:04 10.946 ModemLog_Motorola USB Modem #2.txt
13.08.2006 22:40 6.904 WGA.log
13.08.2006 01:56 1.374 imsins.BAK
25.07.2006 11:14 8.569 mozver.dat
07.07.2006 19:19 515 gsb99.ini
12.06.2006 12:48 1.409 QTFont.for


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\

05.09.2006 06:40 0 sys.txt
05.09.2006 06:40 4.382 system.txt
05.09.2006 06:39 290 systemtemp.txt
05.09.2006 06:38 101.433 system32.txt
05.09.2006 06:35 7.811 ComboFix.txt
05.09.2006 06:26 3.132 avenger.txt
05.09.2006 06:26 536.399.872 hiberfil.sys
05.09.2006 06:26 805.306.368 pagefile.sys
05.09.2006 06:20 1.140 VundoFix.txt
04.09.2006 17:32 8.442 ComboFix2.txt
04.09.2006 17:29 155 ComboFix3.txt
30.08.2006 17:36 211 boot.ini
14.08.2006 13:19 0 DBS.TXT
04.12.2005 22:16 0 AUTOEXEC.BAT
04.12.2005 22:16 0 MSDOS.SYS
04.12.2005 22:16 0 IO.SYS
04.12.2005 22:16 0 CONFIG.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
19.06.2004 22:12 147.456 AnalogUhrG.exe
23.08.2001 14:00 4.952 bootfont.bin
21 Datei(en) 1.342.284.392 Bytes
0 Verzeichnis(se), 5.791.744.000 Bytes frei
Seitenanfang Seitenende
05.09.2006, 13:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 1.
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\wmipropd.dll
C:\WINDOWS\system32\ss2uinst.exe
2.
fixe mit dem HijackTHis:

O2 - BHO: (no name) - {1D97BD8E-2A85-4B65-8BE1-743DF7F21431} - C:\WINDOWS\system32\wmipropd.dll
O2 - BHO: (no name) - {A088D5BE-8A00-48CF-AF8D-DC0528A300A7} - C:\WINDOWS\system32\ssqpn.dll (file missing)

3.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 15:41
...neu hier

Beiträge: 3
#6 hi könnt ihr mir auch helfen? bei mir heißt die datei awtqo.dll
moment hier meine hijack datei:

Logfile of HijackThis v1.99.1
Scan saved at 14:35:34, on 05.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
D:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.254:8080
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: (no name) - {D510E5B5-5666-4D9C-9B2B-56F229592B04} - C:\WINDOWS\system32\awtqo.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UIWatcher] D:\Programme\ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://ka.bar.need2find.com/KA/menusearch.html?p=KA
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download Using &BitSpirit - D:\Programme\BitSpirit\bsurl.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineil32 - C:\WINDOWS\SYSTEM32\wineil32.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
Seitenanfang Seitenende
05.09.2006, 15:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 DisturbeD

poste das log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 18:53
Member

Beiträge: 29
#8

Zitat

Sabina postete
1.
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\wmipropd.dll
C:\WINDOWS\system32\ss2uinst.exe
2.
fixe mit dem HijackTHis:

O2 - BHO: (no name) - {1D97BD8E-2A85-4B65-8BE1-743DF7F21431} - C:\WINDOWS\system32\wmipropd.dll
O2 - BHO: (no name) - {A088D5BE-8A00-48CF-AF8D-DC0528A300A7} - C:\WINDOWS\system32\ssqpn.dll (file missing)

3.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
War das nun für mich, Sabina???
Bei Hijack kann ich die beiden 02 zwar finden, jedoch passen die Zahlen und die Endungen nicht so ganz....
Skorpi
Seitenanfang Seitenende
05.09.2006, 19:30
...neu hier

Themenstarter
Avatar DarthKitty

Beiträge: 5
#9 Nein, das war für mich, aber ich habe auch gegrübelt^^

Zitat

Sabina postete
1.
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\wmipropd.dll
C:\WINDOWS\system32\ss2uinst.exe
2.
fixe mit dem HijackTHis:

O2 - BHO: (no name) - {1D97BD8E-2A85-4B65-8BE1-743DF7F21431} - C:\WINDOWS\system32\wmipropd.dll
O2 - BHO: (no name) - {A088D5BE-8A00-48CF-AF8D-DC0528A300A7} - C:\WINDOWS\system32\ssqpn.dll (file missing)

3.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
zu3.Hey, tut mir echt leid. Ich dachte, da bekomme ich wieder eine Textdatei, aber Pustekuchen. Ich weiß noch:
Es waren 8 Meldungen.
Es war eine 888Tollbar
2 Trojaner.
ssqpn-irgendwas war auch dabei.
Ich habe alles gelöscht und den Scan im abgesicherten Modus wiederholt.
Ergebnis: 0 found

______________________avengar________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nsguygqn

*******************

Script file located at: \??\C:\enryajyi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\npqss.bak2 deleted successfully.
File C:\WINDOWS\system32\wmipropd.dll deleted successfully.
File C:\WINDOWS\system32\ss2uinst.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

________________________HJT______________________________
Logfile of HijackThis v1.99.1
Scan saved at 14:31:54, on 5.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\rainlendar\Rainlendar.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legend-green-dragon.de/logd/index.php?op=timeout
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Verknüpfung mit Rainlendar.lnk = C:\Programme\rainlendar\Rainlendar.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
05.09.2006, 19:56
...neu hier

Beiträge: 3
#10 so hab alles gemacht.. nur mit cleanup weiß ich nciht.. weil eigentlich müsste der doch den pc neu starten.. machter aber nicht...

aber hier die combofix datei:
Michel - 06-09-05 19:33:34,73
ComboFix 06.09.04BT - Running from: D:\Programme\combofix

Microsoft Windows XP [Version 5.1.2600]

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\{30B24EAE-087A-1031-0625-040404010031}


((((((((((((((((((((((((((((((( Files Created from 2006-08-05 to 2006-09-05 ))))))))))))))))))))))))))))))))))


2006-09-05 15:24 871,991 ---hs---- C:\WINDOWS\system32\oqtwa.bak1
2006-08-13 16:28 573,492 --------- C:\WINDOWS\system32\awtqo.dll
2006-08-13 14:22 18,944 --a------ C:\WINDOWS\system32\wineil32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-05 19:34 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-05 19:32 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-05 19:10 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Skype
2006-09-04 18:15 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Lavasoft
2006-09-03 13:55 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-03 13:55 -------- d-------- C:\Programme\Google
2006-09-03 13:55 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Google
2006-09-02 23:41 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-31 15:22 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Sierra
2006-08-27 22:17 -------- d-------- C:\Programme\a-squared
2006-08-26 13:23 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2006-08-24 19:28 97792 --a------ C:\WINDOWS\system32\drivers\ACEDRV05.sys
2006-08-19 13:01 -------- d-------- C:\Programme\quickbar
2006-08-13 14:13 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2006-08-11 12:19 -------- d-------- C:\Programme\Internet Explorer
2006-08-05 18:41 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\teamspeak2
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-19 23:48 -------- d-------- C:\Programme\Skype
2006-07-19 17:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2006-06-16 12:21 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"d:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"BearShare"="\"D:\\Programme\\BearShare\\BearShare.exe\" /pause"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"UIWatcher"="D:\\Programme\\ashampoo\\Ashampoo UnInstaller Suite\\UIWatcher.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"wininet.dll"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,80,01,00,00,00,00,00,00,80,02,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Anti-Blaxx Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Anti-Blaxx"
"hkey"="HKLM"
"command"="D:\\Programme\\Anti-Blaxx\\Anti-Blaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="D:\\Programme\\iTunes\\iTunesHelper.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="steam"
"hkey"="HKCU"
"command"="\"d:\\programme\\valve\\steam\\steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UIWatcher]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UIWatcher"
"hkey"="HKCU"
"command"="D:\\Programme\\ashampoo\\Ashampoo UnInstaller Suite\\UIWatcher.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqo
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineil32



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060905-143759-869
O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll
backup-20060905-143753-733
O2 - BHO: (no name) - {D510E5B5-5666-4D9C-9B2B-56F229592B04} - C:\WINDOWS\system32\awtqo.dll
backup-20060905-143629-668
O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll
backup-20060905-143626-975
O2 - BHO: (no name) - {D510E5B5-5666-4D9C-9B2B-56F229592B04} - C:\WINDOWS\system32\awtqo.dll
backup-20060905-143511-933
O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll

Completion time: 05.09.2006 19:35:01.09
ComboFix.txt


system32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30B2-4EAE

Verzeichnis von C:\WINDOWS\system32

05.09.2006 19:49 872.374 oqtwa.ini
05.09.2006 19:46 17.920 ixt1.dll
05.09.2006 19:46 5.120 ismini.exe
05.09.2006 19:42 176.128 urroxtl.dll
05.09.2006 19:42 4.286 ot.ico
05.09.2006 19:42 4.286 ts.ico
05.09.2006 19:42 17.920 ixt0.dll
05.09.2006 19:42 8.784 isnotify.exe
05.09.2006 19:42 28.672 issearch.exe
05.09.2006 19:40 32.784 ishost.exe
05.09.2006 19:11 2.206 wpa.dbl
05.09.2006 15:24 871.991 oqtwa.bak1
04.09.2006 18:05 96 mcrh.tmp

02.09.2006 23:41 43.520 CmdLineExt03.dll
13.08.2006 16:28 573.492 awtqo.dll
13.08.2006 14:22 18.944 wineil32.dll

03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll


hier noch die anderen .txt dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30B2-4EAE

Verzeichnis von C:\Temp

05.09.2006 19:46 255 WGAErrLog.txt
05.09.2006 19:40 0 win196A.tmp
05.09.2006 19:40 0 win1969.tmp
05.09.2006 19:40 0 win1968.tmp
05.09.2006 19:40 1.044 win1966.tmp
05.09.2006 19:38 0 win1964.tmp
05.09.2006 19:38 0 win1965.tmp
05.09.2006 19:36 0 win1962.tmp
05.09.2006 19:36 0 win1961.tmp
05.09.2006 19:36 0 win1963.tmp
30.08.2006 05:03 124 0CF6E057.TMP
11 Datei(en) 1.423 Bytes
0 Verzeichnis(se), 3.928.788.992 Bytes frei


windows:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30B2-4EAE

Verzeichnis von C:\WINDOWS

05.09.2006 19:12 1.250.702 WindowsUpdate.log
05.09.2006 19:10 0 0.log
05.09.2006 19:09 159 wiadebug.log
05.09.2006 19:09 50 wiaservc.log
05.09.2006 19:08 2.048 bootstat.dat
05.09.2006 15:42 32.600 SchedLgU.Txt
05.09.2006 15:20 627.384 ntbtlog.txt
04.09.2006 22:07 1.409 QTFont.for
04.09.2006 22:07 54.156 QTFont.qfn
04.09.2006 16:20 937.276 setupapi.log
31.08.2006 17:26 229 NeroDigital.ini
29.08.2006 15:45 1.047 win.ini
27.08.2006 22:35 1.010 Illuminator Settings.ini
27.08.2006 14:37 37.271 wmsetup.log
27.08.2006 13:50 36.969 DirectX.log
11.08.2006 12:20 112.280 ntdtcsetup.log
11.08.2006 12:20 644.527 iis6.log
11.08.2006 12:20 185.125 comsetup.log
11.08.2006 12:20 1.374 imsins.log
11.08.2006 12:20 247.948 tsoc.log
11.08.2006 12:20 26.934 tabletoc.log
11.08.2006 12:20 29.624 ocmsn.log
11.08.2006 12:20 16.553 KB920214.log
11.08.2006 12:20 37.930 medctroc.Log
11.08.2006 12:20 271.479 ocgen.log
11.08.2006 12:20 92.376 netfxocm.log
11.08.2006 12:20 26.901 msgsocm.log
11.08.2006 12:20 520.504 FaxSetup.log
11.08.2006 12:20 178.464 msmqinst.log
11.08.2006 12:20 1.374 imsins.BAK
11.08.2006 12:20 16.858 KB922616.log
11.08.2006 12:20 32.700 updspapi.log
11.08.2006 12:20 16.498 KB921398.log
11.08.2006 12:19 19.720 KB918899.log
11.08.2006 12:19 11.901 KB920670.log
11.08.2006 12:19 12.059 KB917422.log
11.08.2006 12:18 12.358 KB920683.log
10.08.2006 18:42 151 PhotoSnapViewer.INI
09.08.2006 17:03 11.144 KB921883.log
06.08.2006 21:37 27.184 WgaNotify.log
20.07.2006 00:48 12.203 KB917159.log
20.07.2006 00:48 12.775 KB914388.log
20.07.2006 00:48 10.960 KB916595.log
16.06.2006 20:26 31.670 spupdsvc.log
16.06.2006 16:06 38.796 KB917734.log
16.06.2006 16:06 15.996 KB918439.log
16.06.2006 16:06 16.351 KB917344.log
16.06.2006 16:06 16.128 KB917953.log
16.06.2006 16:06 16.105 KB911280.log
16.06.2006 16:06 19.475 KB916281.log
16.06.2006 16:05 13.457 KB914389.log
20.05.2006 19:16 287 SnapYa! Settings.ini
15.05.2006 19:18 53 ChssBase.ini
11.05.2006 22:42 11.690 KB913580.log

c:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30B2-4EAE

Verzeichnis von C:\

05.09.2006 19:50 0 sys.txt
05.09.2006 19:50 11.490 windows.txt
05.09.2006 19:50 11.490 system.txt
05.09.2006 19:50 761 temp.txt
05.09.2006 19:50 761 systemtemp.txt
05.09.2006 19:49 104.020 system32.txt
05.09.2006 19:35 8.310 ComboFix.txt
05.09.2006 19:08 402.653.184 pagefile.sys
05.09.2006 15:24 2.734 VundoFix.txt
13.08.2006 13:50 92 pmcs.txt
13.08.2006 13:50 101 recorder.txt
13.08.2006 13:50 31.756 checkrun.txt
Dieser Beitrag wurde am 05.09.2006 um 20:01 Uhr von DisturbeD editiert.
Seitenanfang Seitenende
05.09.2006, 23:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Skorpi

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnml
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winawg32
HKEY_CURRENT_USER\Software\Batty2
HKEY_CURRENT_USER\Software\Batty
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{994D478A-45D0-4DB4-AE27-738B1E346F99}

Files to delete:
C:\Programme\Batty2\Batty2.dll
C:\WINDOWS\system32\BattyRun2.dll
C:\WINDOWS\system32\lmnnn.ini
C:\WINDOWS\system32\eicxemru.txt
C:\WINDOWS\system32\ixt0.dll_tobedeleted
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\lmnnn.bak1
C:\WINDOWS\system32\nnnml.dll
C:\WINDOWS\system32\urroxtl.dll_tobedeleted
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\winawg32.dll

Folders to delete:
C:\Programme\PSHope
C:\Programme\Batty2
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**poste das log vom avenger, was erscheint.

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

O2 - BHO: (no name) - {82147DC5-0BB6-42CF-B887-867C0AF7D649} - C:\WINDOWS\system32\nnnml.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)

O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - C:\Programme\Batty2\Batty2.dll
O20 - AppInit_DLLs: BattyRun2.dll

O20 - Winlogon Notify: nnnml - C:\WINDOWS\system32\nnnml.dll
O20 - Winlogon Notify: winawg32 - C:\WINDOWS\SYSTEM32\winawg32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)


PC neustarten

**
scanne mit smitfraudfix (option 1 und 2 ) und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2006, 00:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 DarthKitty

**
poste noch mal die 4 logs von datfindbat

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2006, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 DisturbeD

0.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqo
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineil32

Files to delete:
C:\Temp\win196A.tmp
C:\Temp\win1969.tmp
C:\Temp\win1968.tmp
C:\Temp\win1966.tmp
C:\Temp\win1964.tmp
C:\Temp\win1965.tmp
C:\Temp\win1962.tmp
C:\Temp\win1961.tmp
C:\Temp\win1963.tmp
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\urroxtl.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\oqtwa.bak1
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\wineil32.dll

Folders to delete:
C:\Programme\quickbar
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**poste das log vom avenger, was erscheint.

**
scanne mit smitfraudfix (option 1 und 2 ) und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2006, 08:44
...neu hier

Themenstarter
Avatar DarthKitty

Beiträge: 5
#14 __________________________________________datfindbat__________________________
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\WINDOWS\system32

06.09.2006 07:40 41.106 vsconfig.xml
03.09.2006 12:41 149.992 FNTCACHE.DAT
27.08.2006 18:54 2.206 wpa.dbl
13.08.2006 00:35 8.116 d3d9caps.dat
09.08.2006 21:03 8.325.544 MRT.exe
30.07.2006 16:16 57.384 avsda.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 10:53 27.136 xpsp3res.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\DOKUME~1\Li2\LOKALE~1\Temp

06.09.2006 07:47 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}29110.html
06.09.2006 07:47 16.384 ~DFD423.tmp
06.09.2006 07:47 512 ~DFB8A6.tmp
06.09.2006 07:47 16.384 ~DFB895.tmp
05.09.2006 21:48 255 tmp19.tmp
05.09.2006 21:48 0 tmp18.tmp
05.09.2006 19:11 16.384 ~DFFA5B.tmp
05.09.2006 15:28 16.384 ~DFD1DE.tmp
05.09.2006 15:26 16.384 ~DFB020.tmp
05.09.2006 14:29 16.384 ~DFE134.tmp
05.09.2006 14:19 16.384 ~DFBCCB.tmp
05.09.2006 06:27 16.384 ~DFF331.tmp
17.02.2006 16:55 143.360 SSUPDATE.EXE
13 Datei(en) 276.177 Bytes

0 Verzeichnis(se), 5.647.204.352 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\WINDOWS

06.09.2006 07:46 1.116.928 WindowsUpdate.log
06.09.2006 07:40 0 0.log
06.09.2006 07:40 2.048 bootstat.dat
05.09.2006 22:54 32.630 SchedLgU.Txt
05.09.2006 22:54 50 wiaservc.log
05.09.2006 22:54 607 wiadebug.log
05.09.2006 19:56 30 Iedit.INI
05.09.2006 19:32 54.156 QTFont.qfn
05.09.2006 06:29 0 setuperr.log
05.09.2006 06:29 60 setupact.log
04.09.2006 16:38 516.330 ntbtlog.txt
01.09.2006 23:12 135 NeroDigital.ini
01.09.2006 17:14 18.007 setupapi.log
30.08.2006 17:36 227 system.ini
30.08.2006 17:36 700 win.ini
20.08.2006 13:04 10.946 ModemLog_Motorola USB Modem #2.txt
13.08.2006 22:40 6.904 WGA.log
13.08.2006 01:56 1.374 imsins.BAK
25.07.2006 11:14 8.569 mozver.dat
07.07.2006 19:19 515 gsb99.ini
12.06.2006 12:48 1.409 QTFont.for



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9

Verzeichnis von C:\

06.09.2006 07:49 0 sys.txt
06.09.2006 07:48 4.382 system.txt
06.09.2006 07:48 924 systemtemp.txt
06.09.2006 07:48 101.285 system32.txt
06.09.2006 07:40 536.399.872 hiberfil.sys
06.09.2006 07:40 805.306.368 pagefile.sys
05.09.2006 14:28 1.302 avenger.txt
05.09.2006 06:35 7.811 ComboFix.txt
05.09.2006 06:20 1.140 VundoFix.txt
04.09.2006 17:32 8.442 ComboFix2.txt
04.09.2006 17:29 155 ComboFix3.txt
30.08.2006 17:36 211 boot.ini
30.08.2006 17:36 211 boot.ini.SAB
14.08.2006 13:19 0 DBS.TXT

____________________________panda_______________________________

Incident Status Location

Adware:Adware/KeenValue Not disinfected C:\avenger\backup.zip[avenger/wmipropd.dll]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as-eu.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[sel.as-eu.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as1.falkag.de/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.mediaplex.com/]
Spyware:Cookie/QkSrv Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.qksrv.net/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.tribalfusion.com/]
Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.z1.adserver.com/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as-us.falkag.net/]
Spyware:Cookie/Clickbank Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.clickbank.net/]
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Li2\Cookies\li2@atwola[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Li2\Desktop\systemtools\VundoFix\VundoFix\process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Li2\Desktop\systemtools\VundoFix.exe[process.exe]
Seitenanfang Seitenende
06.09.2006, 11:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 DarthKitty

1.
loeschen:
C:\avenger\backup.zip
C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Temp\tmp19.tmp

2.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

dann muesste wieder alles o.k sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: