TR/Vundo.gen in ssqpn.dllThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
04.09.2006, 17:57
...neu hier
Beiträge: 5 |
||
|
||
04.09.2006, 23:54
Ehrenmitglied
Beiträge: 29434 |
#2
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\ss2uinst.exe ------------------------------------------------------------- 1. vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint ** Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k ** Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) ** berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 00:44
Member
Beiträge: 29 |
#3
Hallo zusammen!
Habe mir heute selbiges Problem eingefangen und wollte keinen neuen Thread aufmachen. Bin durch die Google-Suche hier gelandet und schon seit Stunden dabei alle erforderlichen Daten zusammenzustellen, dass hier die Fachmänner/ -frauen mir ebenfalls weiterhelfen können. Bei mir befindet sich ebenfalls der TR/Vundo.Gen in c:\windows\system32\nnnml.dll...... Antivir kann die Datei nicht entfernen... benötige Eure HILFE. Danke schon mal im Voraus. --> Wie kann man dem in Zukunft vorbeugen? HIJACK-Log Logfile of HijackThis v1.99.1 Scan saved at 23:48:08, on 04.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\SPAMfighter\SFAgent.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {82147DC5-0BB6-42CF-B887-867C0AF7D649} - C:\WINDOWS\system32\nnnml.dll O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing) O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{47748D78-D8C3-4E6A-9A7D-1332C69B0FDC}: NameServer = 195.50.140.250 195.50.140.114 O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - C:\Programme\Batty2\Batty2.dll O20 - AppInit_DLLs: BattyRun2.dll O20 - Winlogon Notify: nnnml - C:\WINDOWS\system32\nnnml.dll O20 - Winlogon Notify: winawg32 - C:\WINDOWS\SYSTEM32\winawg32.dll O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe CLEANUP wurde wie beschrieben durchgeführt ! ! ! CamboFix Log Administrator - 06-09-05 0:10:14,62 ComboFix 06.09.04BT - Running from: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop Microsoft Windows XP [Version 5.1.2600] (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\BattyRun.dll C:\WINDOWS\system32\issearch.exe C:\WINDOWS\system32\components ((((((((((((((((((((((((((((((( Files Created from 2006-08-05 to 2006-09-05 )))))))))))))))))))))))))))))))))) 2006-09-04 21:01 692,276 --------- C:\WINDOWS\system32\nnnml.dll 2006-09-04 21:01 451,802 ---hs---- C:\WINDOWS\system32\lmnnn.bak1 2006-09-04 20:57 4,608 --a------ C:\WINDOWS\system32\ismini.exe 2006-09-04 20:55 18,944 --a------ C:\WINDOWS\system32\winawg32.dll 2006-08-07 17:17 61,440 --a------ C:\WINDOWS\system32\BattyRun2.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-04 23:51 -------- d-------- C:\Programme\CleanUp! 2006-09-04 15:03 -------- d-------- C:\Programme\eDonkey2000 2006-08-30 21:53 -------- d-------- C:\Programme\Trillian 2006-08-29 20:46 -------- d-------- C:\Programme\Real 2006-08-29 20:43 774144 --a------ C:\Programme\RngInterstitial.dll 2006-08-29 20:43 -------- d-------- C:\Programme\Gemeinsame Dateien\Real 2006-08-29 20:42 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-08-24 01:18 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-24 01:18 -------- d-------- C:\Programme\Cornelsen 2006-08-22 17:47 -------- d-------- C:\Programme\SPAMfighter 2006-08-19 01:16 17744 --a------ C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-07-16 18:48 1073152 --a------ C:\WINDOWS\system32\FreeImage.dll 2006-07-09 15:17 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-07-09 15:16 -------- d-------- C:\Programme\QuickTime 2006-07-09 14:27 -------- d-------- C:\Programme\Lavasoft 2006-07-09 14:27 -------- d-------- C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Anwendungsdaten\Lavasoft (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "VVSN"="C:\\Programme\\VVSN\\VVSN.exe" "SPAMfighter Agent"="\"C:\\Programme\\SPAMfighter\\SFAgent.exe\" update delay 60" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\"" "Steam"="" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NVMCTRAY.DLL,NvTaskbarInit" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:b1,00,00,00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnml HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winawg32 Completion time: 05.09.2006 0:14:54.56 ComboFix.txt Logfiles von datFind Verzeichnis von C:\WINDOWS\system32 05.09.2006 00:21 457.483 lmnnn.ini 04.09.2006 23:21 100 eicxemru.txt 04.09.2006 21:50 18.944 ixt0.dll_tobedeleted 04.09.2006 21:50 4.608 ismini.exe 04.09.2006 21:01 451.802 lmnnn.bak1 04.09.2006 21:01 692.276 nnnml.dll 04.09.2006 20:59 176.128 urroxtl.dll_tobedeleted 04.09.2006 20:59 4.286 ot.ico 04.09.2006 20:55 18.944 winawg32.dll 01.09.2006 21:58 2.206 wpa.dbl 29.08.2006 20:43 278.528 pncrt.dll 24.08.2006 09:20 115.768 FNTCACHE.DAT 07.08.2006 17:17 61.440 BattyRun2.dll 03.08.2006 05:49 311.604 perfh009.dat 03.08.2006 05:49 39.992 perfc009.dat 03.08.2006 05:49 316.594 perfh007.dat 03.08.2006 05:49 48.156 perfc007.dat 03.08.2006 05:49 723.744 PerfStringBackup.INI 16.07.2006 18:48 1.073.152 FreeImage.dll 14.07.2006 17:38 332.288 netapi32.dll 07.07.2006 03:21 6.757.792 MRT.exe 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 22.06.2006 12:47 181.248 rasmans.dll 02.06.2006 11:04 57.384 avsda.dll 01.06.2006 20:47 163.840 jgdw400.dll 01.06.2006 20:47 27.648 jgpl400.dll Verzeichnis von C:\DOKUME~1\ADMINI~1.DID\LOKALE~1\Temp Verzeichnis von C:\WINDOWS 05.09.2006 00:05 0 0.log 05.09.2006 00:05 1.965.078 WindowsUpdate.log 05.09.2006 00:03 2.048 bootstat.dat 05.09.2006 00:02 32.626 SchedLgU.Txt 01.09.2006 22:27 116 NeroDigital.ini 22.08.2006 00:49 788 wiadebug.log 21.08.2006 21:30 50 wiaservc.log 16.08.2006 20:58 4.260 KB921398.log 16.08.2006 20:58 7.736 KB918899.log 15.08.2006 19:21 9.438 KB917422.log 15.08.2006 19:20 3.649 KB920670.log 14.08.2006 12:14 3.501 KB920214.log 14.08.2006 12:14 9.177 KB922616.log 12.08.2006 14:39 658.157 iis6.log 12.08.2006 14:39 174.554 comsetup.log 12.08.2006 14:39 109.687 ntdtcsetup.log 12.08.2006 14:39 1.374 imsins.log 12.08.2006 14:39 244.763 tsoc.log 12.08.2006 14:39 27.651 ocmsn.log 12.08.2006 14:39 25.185 tabletoc.log 12.08.2006 14:39 15.632 KB920683.log 12.08.2006 14:39 41.462 medctroc.Log 12.08.2006 14:39 282.075 ocgen.log 12.08.2006 14:39 88.703 netfxocm.log 12.08.2006 14:39 26.454 msgsocm.log 12.08.2006 14:39 486.555 FaxSetup.log 12.08.2006 14:39 187.636 msmqinst.log 12.08.2006 14:39 28.291 updspapi.log 11.08.2006 23:59 1.374 imsins.BAK 11.08.2006 23:59 15.521 KB921883.log 02.08.2006 22:23 11.851 KB917159.log 02.08.2006 22:23 12.386 KB914388.log 02.08.2006 22:23 10.391 KB916595.log 28.07.2006 11:43 2.490 cdPlayer.ini 19.07.2006 23:03 4.903 setupapi.log 29.06.2006 01:04 12.130 KB911280.log 23.06.2006 15:37 102.864 spupdsvc.log 21.06.2006 15:02 11.178 KB917734.log 21.06.2006 15:02 35.504 wmsetup.log 21.06.2006 15:01 15.774 KB918439.log 21.06.2006 15:01 16.133 KB917344.log 21.06.2006 15:01 15.949 KB917953.log 21.06.2006 15:00 19.833 KB916281.log 21.06.2006 15:00 13.841 KB914389.log 13.06.2006 08:33 1.067.392 setupapi.log.0.old 14.05.2006 21:48 13.345 KB913580.log Verzeichnis von C:\ 05.09.2006 00:27 0 sys.txt 05.09.2006 00:26 8.949 system.txt 05.09.2006 00:25 140 systemtemp.txt 05.09.2006 00:22 5.915 ComboFix.txt 05.09.2006 00:21 99.603 system32.txt 05.09.2006 00:03 267.964.416 hiberfil.sys 05.09.2006 00:03 503.316.480 pagefile.sys 04.09.2006 23:36 3.224 avenger.txt 18.09.2005 03:46 211 boot.ini 18.09.2005 03:26 47.564 NTDETECT.COM 18.09.2005 03:26 251.184 ntldr 17.09.2005 12:12 0 MSDOS.SYS 17.09.2005 12:12 0 CONFIG.SYS 17.09.2005 12:12 0 IO.SYS 17.09.2005 12:12 0 AUTOEXEC.BAT 18.08.2001 12:00 4.952 bootfont.bin 16 Datei(en) 771.702.638 Bytes 0 Verzeichnis(se), 2.841.268.224 Bytes frei |
|
|
||
05.09.2006, 06:46
...neu hier
Themenstarter Beiträge: 5 |
#4
Aaaaaalso,
die Meldung erscheint nicht mehr beim Start. Ich hoffe, alles is nu wieder sauber. Was soll ich tun, damit sowas nicht wieder kommt? Ich hatte im Oktober 3 Viren, wovon ich den hier einfach nicht wegbekam. Das war wie verhext... ___________________________virustotal________________________________ Complete scanning result of "ss2uinst.exe", received in VirusTotal at 09.05.2006, 06:11:48 (CET). Antivirus Version Update Result AntiVir 7.1.1.11 09.04.2006 no virus found Authentium 4.93.8 09.03.2006 no virus found Avast 4.7.844.0 09.04.2006 no virus found AVG 386 09.04.2006 no virus found BitDefender 7.2 09.05.2006 no virus found CAT-QuickHeal 8.00 09.04.2006 no virus found ClamAV devel-20060426 09.05.2006 no virus found DrWeb 4.33 09.04.2006 no virus found eTrust-InoculateIT 23.72.115 09.04.2006 no virus found eTrust-Vet 30.3.3061 09.04.2006 no virus found Ewido 4.0 09.04.2006 no virus found Fortinet 2.77.0.0 09.04.2006 no virus found F-Prot 3.16f 09.04.2006 no virus found F-Prot4 4.2.1.29 09.04.2006 no virus found Ikarus 0.2.65.0 09.04.2006 no virus found Kaspersky 4.0.2.24 09.05.2006 no virus found McAfee 4844 09.04.2006 no virus found Microsoft 1.1560 09.03.2006 no virus found NOD32v2 1.1739 09.04.2006 no virus found Norman 5.90.23 09.04.2006 no virus found Panda 9.0.0.4 09.04.2006 no virus found Sophos 4.09.0 09.05.2006 no virus found Symantec 8.0 09.05.2006 no virus found TheHacker 5.9.8.204 09.04.2006 no virus found UNA 1.83 09.05.2006 no virus found VBA32 3.11.1 09.04.2006 no virus found VirusBuster 4.3.7:9 09.03.2006 no virus found Aditional Information File size: 433664 bytes MD5: 6ce24cb20bfd9b7e55205be71def8847 SHA1: a166a66e75b278bbab1c5dfc571bd43b129cee54 _______________________________________avengar_______________________________________________ Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vymbitpg ******************* Script file located at: \??\C:\WINDOWS\rmeqftu^.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\npqss.ini deleted successfully. File C:\WINDOWS\system32\ujtdtcdp.exe not found! Deletion of file C:\WINDOWS\system32\ujtdtcdp.exe failed! Could not process line: C:\WINDOWS\system32\ujtdtcdp.exe Status: 0xc0000034 File C:\WINDOWS\system32\obgwadyh.exe not found! Deletion of file C:\WINDOWS\system32\obgwadyh.exe failed! Could not process line: C:\WINDOWS\system32\obgwadyh.exe Status: 0xc0000034 File C:\WINDOWS\system32\npqss.bak1 deleted successfully. File C:\WINDOWS\system32\ssqpn.dll deleted successfully. File C:\WINDOWS\system32\pmnllij.dll not found! Deletion of file C:\WINDOWS\system32\pmnllij.dll failed! Could not process line: C:\WINDOWS\system32\pmnllij.dll Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully. Completed script processing. ******************* Finished! Terminate. _____________________________________________________________HJT_______________________ Logfile of HijackThis v1.99.1 Scan saved at 06:32:20, on 5.9.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\TBLMOUSE.EXE C:\Programme\rainlendar\Rainlendar.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wbem\wmiprvse.exe D:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legend-green-dragon.de/logd/index.php?op=timeout R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:80 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1D97BD8E-2A85-4B65-8BE1-743DF7F21431} - C:\WINDOWS\system32\wmipropd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {A088D5BE-8A00-48CF-AF8D-DC0528A300A7} - C:\WINDOWS\system32\ssqpn.dll (file missing) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Verknüpfung mit Rainlendar.lnk = C:\Programme\rainlendar\Rainlendar.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O15 - Trusted Zone: http://locator.cdn.imageservr.com O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe _________________________________________________________________combofix__________________________ Li2 - 06-09-05 6:34:34,67 ComboFix 06.09.04BT - Running from: C:\Dokumente und Einstellungen\Li2\Desktop Microsoft Windows XP [Version 5.1.2600] ((((((((((((((((((((((((((((((( Files Created from 2006-08-05 to 2006-09-05 )))))))))))))))))))))))))))))))))) 2006-08-13 11:41 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll 2006-08-13 11:41 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL 2006-08-13 11:41 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll 2006-08-13 11:41 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL 2006-08-12 21:54 871,480 ---hs---- C:\WINDOWS\system32\npqss.bak2 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-05 06:28 -------- d-------- C:\Programme\Mozilla Firefox 2006-09-04 17:49 -------- d-------- C:\Programme\Mozilla Thunderbird 2006-09-04 17:15 -------- d-------- C:\Programme\CleanUp! 2006-09-03 17:37 -------- d-------- C:\Programme\TuneUp Utilities 2006 2006-09-03 17:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-09-03 12:39 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Azureus 2006-09-03 12:25 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\X-Chat 2 2006-09-03 12:18 -------- d-------- C:\Programme\X-Chat 2 2006-09-03 10:26 -------- d-------- C:\Programme\Catz 2006-08-31 15:46 -------- d-------- C:\Programme\ICQLite 2006-08-30 20:13 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-08-29 22:06 -------- d-------- C:\Programme\ICQToolbar 2006-08-28 16:24 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQ Toolbar 2006-08-23 17:14 -------- d-------- C:\Programme\Azureus 2006-08-20 15:05 -------- d-------- C:\Programme\Alcohol Toolbar 2006-08-19 16:49 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\dvdcss 2006-08-15 08:56 -------- d-------- C:\Programme\UltraISO 2006-08-14 20:45 -------- d-------- C:\Programme\Smart Projects 2006-08-14 19:02 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys 2006-08-14 19:02 -------- d-------- C:\Programme\Alcohol Soft 2006-08-14 18:58 96256 --a------ C:\WINDOWS\system32\drivers\sptd6941.sys 2006-08-14 18:58 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2006-08-14 13:18 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-14 13:18 -------- d-------- C:\Programme\mobile PhoneTools 2006-08-14 12:55 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQLite 2006-08-13 01:55 -------- d-------- C:\Programme\Internet Explorer 2006-08-11 15:28 -------- d-------- C:\Programme\Opera 2006-07-31 18:33 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\vlc 2006-07-31 18:08 -------- d-------- C:\Programme\VideoLAN 2006-07-30 16:16 57384 --a------ C:\WINDOWS\system32\avsda.dll 2006-07-27 22:17 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Rainlendar 2006-07-27 22:15 -------- d-------- C:\Programme\rainlendar 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-24 14:34 433664 --a------ C:\WINDOWS\system32\ss2uinst.exe 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "atwtusb"="atwtusb.exe beta" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "MaxRecentDocs"=dword:0000000f [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e0,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ctfmon.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ctfmon" "hkey"="HKCU" "command"="C:\\WINDOWS\\system32\\ctfmon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "Ulead AutoDetector v2"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe" "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize" "IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32" "MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC" "PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName" "PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Click Maintenance.job C:\WINDOWS\tasks\1-Klick-Wartung.job Completion time: Tue 05.09.2006 6:35:12.81 ComboFix.txt ComboFix2.txt ComboFix3.txt ______________________________________________datfindbat______________________________________________ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\WINDOWS\system32 05.09.2006 06:27 41.106 vsconfig.xml 04.09.2006 18:58 871.480 npqss.bak2 03.09.2006 12:41 149.992 FNTCACHE.DAT 27.08.2006 18:54 2.206 wpa.dbl 13.08.2006 00:35 8.116 d3d9caps.dat 09.08.2006 21:03 8.325.544 MRT.exe 30.07.2006 16:16 57.384 avsda.dll 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 24.07.2006 14:34 433.664 ss2uinst.exe 21.07.2006 10:29 72.704 hlink.dll 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 05.07.2006 12:55 1.057.792 kernel32.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 23.06.2006 13:10 664.576 wininet.dll 23.06.2006 13:10 1.494.016 shdocvw.dll 23.06.2006 13:10 448.512 mshtmled.dll 23.06.2006 13:10 146.432 msrating.dll 23.06.2006 13:10 532.480 mstime.dll 23.06.2006 13:10 474.624 shlwapi.dll 23.06.2006 13:10 39.424 pngfilt.dll 23.06.2006 13:10 96.768 inseng.dll 23.06.2006 13:10 251.392 iepeers.dll 23.06.2006 13:10 55.808 extmgr.dll 23.06.2006 13:10 205.312 dxtrans.dll 23.06.2006 13:10 1.022.976 browseui.dll 23.06.2006 13:10 357.888 dxtmsft.dll 23.06.2006 13:10 1.056.256 danim.dll 23.06.2006 13:10 152.064 cdfview.dll 23.06.2006 13:10 16.384 jsproxy.dll 23.06.2006 10:53 27.136 xpsp3res.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\DOKUME~1\Li2\LOKALE~1\Temp 05.09.2006 06:27 16.384 ~DFF331.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 5.791.744.000 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\WINDOWS 05.09.2006 06:33 1.064.323 WindowsUpdate.log 05.09.2006 06:29 0 setuperr.log 05.09.2006 06:29 60 setupact.log 05.09.2006 06:27 0 0.log 05.09.2006 06:26 2.048 bootstat.dat 05.09.2006 06:25 32.630 SchedLgU.Txt 04.09.2006 22:03 54.156 QTFont.qfn 04.09.2006 19:57 547 wiadebug.log 04.09.2006 19:57 30 Iedit.INI 04.09.2006 19:53 50 wiaservc.log 04.09.2006 16:38 516.330 ntbtlog.txt 01.09.2006 23:12 135 NeroDigital.ini 01.09.2006 17:14 18.007 setupapi.log 30.08.2006 17:36 700 win.ini 30.08.2006 17:36 227 system.ini 20.08.2006 13:04 10.946 ModemLog_Motorola USB Modem #2.txt 13.08.2006 22:40 6.904 WGA.log 13.08.2006 01:56 1.374 imsins.BAK 25.07.2006 11:14 8.569 mozver.dat 07.07.2006 19:19 515 gsb99.ini 12.06.2006 12:48 1.409 QTFont.for Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\ 05.09.2006 06:40 0 sys.txt 05.09.2006 06:40 4.382 system.txt 05.09.2006 06:39 290 systemtemp.txt 05.09.2006 06:38 101.433 system32.txt 05.09.2006 06:35 7.811 ComboFix.txt 05.09.2006 06:26 3.132 avenger.txt 05.09.2006 06:26 536.399.872 hiberfil.sys 05.09.2006 06:26 805.306.368 pagefile.sys 05.09.2006 06:20 1.140 VundoFix.txt 04.09.2006 17:32 8.442 ComboFix2.txt 04.09.2006 17:29 155 ComboFix3.txt 30.08.2006 17:36 211 boot.ini 14.08.2006 13:19 0 DBS.TXT 04.12.2005 22:16 0 AUTOEXEC.BAT 04.12.2005 22:16 0 MSDOS.SYS 04.12.2005 22:16 0 IO.SYS 04.12.2005 22:16 0 CONFIG.SYS 03.08.2004 22:59 251.184 ntldr 03.08.2004 22:38 47.564 NTDETECT.COM 19.06.2004 22:12 147.456 AnalogUhrG.exe 23.08.2001 14:00 4.952 bootfont.bin 21 Datei(en) 1.342.284.392 Bytes 0 Verzeichnis(se), 5.791.744.000 Bytes frei |
|
|
||
05.09.2006, 13:07
Ehrenmitglied
Beiträge: 29434 |
#5
1.
Avenger Zitat Files to delete:2. fixe mit dem HijackTHis: O2 - BHO: (no name) - {1D97BD8E-2A85-4B65-8BE1-743DF7F21431} - C:\WINDOWS\system32\wmipropd.dll O2 - BHO: (no name) - {A088D5BE-8A00-48CF-AF8D-DC0528A300A7} - C:\WINDOWS\system32\ssqpn.dll (file missing) 3. scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 15:41
...neu hier
Beiträge: 3 |
#6
hi könnt ihr mir auch helfen? bei mir heißt die datei awtqo.dll
moment hier meine hijack datei: Logfile of HijackThis v1.99.1 Scan saved at 14:35:34, on 05.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE D:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.254:8080 R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing) O2 - BHO: (no name) - {D510E5B5-5666-4D9C-9B2B-56F229592B04} - C:\WINDOWS\system32\awtqo.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [UIWatcher] D:\Programme\ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://ka.bar.need2find.com/KA/menusearch.html?p=KA O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download Using &BitSpirit - D:\Programme\BitSpirit\bsurl.htm O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://locator.cdn.imageservr.com O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: wineil32 - C:\WINDOWS\SYSTEM32\wineil32.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) |
|
|
||
05.09.2006, 15:47
Ehrenmitglied
Beiträge: 29434 |
#7
DisturbeD
poste das log http://virus-protect.org/artikel/tools/combofix.html stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 18:53
Member
Beiträge: 29 |
#8
Zitat Sabina posteteWar das nun für mich, Sabina??? Bei Hijack kann ich die beiden 02 zwar finden, jedoch passen die Zahlen und die Endungen nicht so ganz.... Skorpi |
|
|
||
05.09.2006, 19:30
...neu hier
Themenstarter Beiträge: 5 |
#9
Nein, das war für mich, aber ich habe auch gegrübelt^^
Zitat Sabina postetezu3.Hey, tut mir echt leid. Ich dachte, da bekomme ich wieder eine Textdatei, aber Pustekuchen. Ich weiß noch: Es waren 8 Meldungen. Es war eine 888Tollbar 2 Trojaner. ssqpn-irgendwas war auch dabei. Ich habe alles gelöscht und den Scan im abgesicherten Modus wiederholt. Ergebnis: 0 found ______________________avengar________________________ Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nsguygqn ******************* Script file located at: \??\C:\enryajyi.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\npqss.bak2 deleted successfully. File C:\WINDOWS\system32\wmipropd.dll deleted successfully. File C:\WINDOWS\system32\ss2uinst.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. ________________________HJT______________________________ Logfile of HijackThis v1.99.1 Scan saved at 14:31:54, on 5.9.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\TBLMOUSE.EXE C:\Programme\rainlendar\Rainlendar.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe D:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legend-green-dragon.de/logd/index.php?op=timeout R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:80 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Verknüpfung mit Rainlendar.lnk = C:\Programme\rainlendar\Rainlendar.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O15 - Trusted Zone: http://locator.cdn.imageservr.com O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
05.09.2006, 19:56
...neu hier
Beiträge: 3 |
#10
so hab alles gemacht.. nur mit cleanup weiß ich nciht.. weil eigentlich müsste der doch den pc neu starten.. machter aber nicht...
aber hier die combofix datei: Michel - 06-09-05 19:33:34,73 ComboFix 06.09.04BT - Running from: D:\Programme\combofix Microsoft Windows XP [Version 5.1.2600] (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Gemeinsame Dateien\{30B24EAE-087A-1031-0625-040404010031} ((((((((((((((((((((((((((((((( Files Created from 2006-08-05 to 2006-09-05 )))))))))))))))))))))))))))))))))) 2006-09-05 15:24 871,991 ---hs---- C:\WINDOWS\system32\oqtwa.bak1 2006-08-13 16:28 573,492 --------- C:\WINDOWS\system32\awtqo.dll 2006-08-13 14:22 18,944 --a------ C:\WINDOWS\system32\wineil32.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-05 19:34 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-05 19:32 -------- d-------- C:\Programme\Mozilla Firefox 2006-09-05 19:10 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Skype 2006-09-04 18:15 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Lavasoft 2006-09-03 13:55 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-09-03 13:55 -------- d-------- C:\Programme\Google 2006-09-03 13:55 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Google 2006-09-02 23:41 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2006-08-31 15:22 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Sierra 2006-08-27 22:17 -------- d-------- C:\Programme\a-squared 2006-08-26 13:23 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys 2006-08-24 19:28 97792 --a------ C:\WINDOWS\system32\drivers\ACEDRV05.sys 2006-08-19 13:01 -------- d-------- C:\Programme\quickbar 2006-08-13 14:13 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien 2006-08-11 12:19 -------- d-------- C:\Programme\Internet Explorer 2006-08-05 18:41 -------- d-------- C:\Dokumente und Einstellungen\Michel\Anwendungsdaten\teamspeak2 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-19 23:48 -------- d-------- C:\Programme\Skype 2006-07-19 17:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment 2006-06-16 12:21 57384 --a------ C:\WINDOWS\system32\avsda.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ICQ Lite"="\"d:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "BearShare"="\"D:\\Programme\\BearShare\\BearShare.exe\" /pause" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "UIWatcher"="D:\\Programme\\ashampoo\\Ashampoo UnInstaller Suite\\UIWatcher.exe" "msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "wininet.dll"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] "ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,80,01,00,00,00,00,00,00,80,02,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Anti-Blaxx Manager] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Anti-Blaxx" "hkey"="HKLM" "command"="D:\\Programme\\Anti-Blaxx\\Anti-Blaxx.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTunesHelper" "hkey"="HKLM" "command"="D:\\Programme\\iTunes\\iTunesHelper.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="MsnMsgr" "hkey"="HKCU" "command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="steam" "hkey"="HKCU" "command"="\"d:\\programme\\valve\\steam\\steam.exe\" -silent" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UIWatcher] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="UIWatcher" "hkey"="HKCU" "command"="D:\\Programme\\ashampoo\\Ashampoo UnInstaller Suite\\UIWatcher.exe" "inimapping"="0" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqo HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineil32 ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20060905-143759-869 O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll backup-20060905-143753-733 O2 - BHO: (no name) - {D510E5B5-5666-4D9C-9B2B-56F229592B04} - C:\WINDOWS\system32\awtqo.dll backup-20060905-143629-668 O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll backup-20060905-143626-975 O2 - BHO: (no name) - {D510E5B5-5666-4D9C-9B2B-56F229592B04} - C:\WINDOWS\system32\awtqo.dll backup-20060905-143511-933 O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll Completion time: 05.09.2006 19:35:01.09 ComboFix.txt system32.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30B2-4EAE Verzeichnis von C:\WINDOWS\system32 05.09.2006 19:49 872.374 oqtwa.ini 05.09.2006 19:46 17.920 ixt1.dll 05.09.2006 19:46 5.120 ismini.exe 05.09.2006 19:42 176.128 urroxtl.dll 05.09.2006 19:42 4.286 ot.ico 05.09.2006 19:42 4.286 ts.ico 05.09.2006 19:42 17.920 ixt0.dll 05.09.2006 19:42 8.784 isnotify.exe 05.09.2006 19:42 28.672 issearch.exe 05.09.2006 19:40 32.784 ishost.exe 05.09.2006 19:11 2.206 wpa.dbl 05.09.2006 15:24 871.991 oqtwa.bak1 04.09.2006 18:05 96 mcrh.tmp 02.09.2006 23:41 43.520 CmdLineExt03.dll 13.08.2006 16:28 573.492 awtqo.dll 13.08.2006 14:22 18.944 wineil32.dll 03.08.2006 03:22 8.255.912 MRT.exe 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 05.07.2006 12:55 1.057.792 kernel32.dll hier noch die anderen .txt dateien Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30B2-4EAE Verzeichnis von C:\Temp 05.09.2006 19:46 255 WGAErrLog.txt 05.09.2006 19:40 0 win196A.tmp 05.09.2006 19:40 0 win1969.tmp 05.09.2006 19:40 0 win1968.tmp 05.09.2006 19:40 1.044 win1966.tmp 05.09.2006 19:38 0 win1964.tmp 05.09.2006 19:38 0 win1965.tmp 05.09.2006 19:36 0 win1962.tmp 05.09.2006 19:36 0 win1961.tmp 05.09.2006 19:36 0 win1963.tmp 30.08.2006 05:03 124 0CF6E057.TMP 11 Datei(en) 1.423 Bytes 0 Verzeichnis(se), 3.928.788.992 Bytes frei windows: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30B2-4EAE Verzeichnis von C:\WINDOWS 05.09.2006 19:12 1.250.702 WindowsUpdate.log 05.09.2006 19:10 0 0.log 05.09.2006 19:09 159 wiadebug.log 05.09.2006 19:09 50 wiaservc.log 05.09.2006 19:08 2.048 bootstat.dat 05.09.2006 15:42 32.600 SchedLgU.Txt 05.09.2006 15:20 627.384 ntbtlog.txt 04.09.2006 22:07 1.409 QTFont.for 04.09.2006 22:07 54.156 QTFont.qfn 04.09.2006 16:20 937.276 setupapi.log 31.08.2006 17:26 229 NeroDigital.ini 29.08.2006 15:45 1.047 win.ini 27.08.2006 22:35 1.010 Illuminator Settings.ini 27.08.2006 14:37 37.271 wmsetup.log 27.08.2006 13:50 36.969 DirectX.log 11.08.2006 12:20 112.280 ntdtcsetup.log 11.08.2006 12:20 644.527 iis6.log 11.08.2006 12:20 185.125 comsetup.log 11.08.2006 12:20 1.374 imsins.log 11.08.2006 12:20 247.948 tsoc.log 11.08.2006 12:20 26.934 tabletoc.log 11.08.2006 12:20 29.624 ocmsn.log 11.08.2006 12:20 16.553 KB920214.log 11.08.2006 12:20 37.930 medctroc.Log 11.08.2006 12:20 271.479 ocgen.log 11.08.2006 12:20 92.376 netfxocm.log 11.08.2006 12:20 26.901 msgsocm.log 11.08.2006 12:20 520.504 FaxSetup.log 11.08.2006 12:20 178.464 msmqinst.log 11.08.2006 12:20 1.374 imsins.BAK 11.08.2006 12:20 16.858 KB922616.log 11.08.2006 12:20 32.700 updspapi.log 11.08.2006 12:20 16.498 KB921398.log 11.08.2006 12:19 19.720 KB918899.log 11.08.2006 12:19 11.901 KB920670.log 11.08.2006 12:19 12.059 KB917422.log 11.08.2006 12:18 12.358 KB920683.log 10.08.2006 18:42 151 PhotoSnapViewer.INI 09.08.2006 17:03 11.144 KB921883.log 06.08.2006 21:37 27.184 WgaNotify.log 20.07.2006 00:48 12.203 KB917159.log 20.07.2006 00:48 12.775 KB914388.log 20.07.2006 00:48 10.960 KB916595.log 16.06.2006 20:26 31.670 spupdsvc.log 16.06.2006 16:06 38.796 KB917734.log 16.06.2006 16:06 15.996 KB918439.log 16.06.2006 16:06 16.351 KB917344.log 16.06.2006 16:06 16.128 KB917953.log 16.06.2006 16:06 16.105 KB911280.log 16.06.2006 16:06 19.475 KB916281.log 16.06.2006 16:05 13.457 KB914389.log 20.05.2006 19:16 287 SnapYa! Settings.ini 15.05.2006 19:18 53 ChssBase.ini 11.05.2006 22:42 11.690 KB913580.log c: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 30B2-4EAE Verzeichnis von C:\ 05.09.2006 19:50 0 sys.txt 05.09.2006 19:50 11.490 windows.txt 05.09.2006 19:50 11.490 system.txt 05.09.2006 19:50 761 temp.txt 05.09.2006 19:50 761 systemtemp.txt 05.09.2006 19:49 104.020 system32.txt 05.09.2006 19:35 8.310 ComboFix.txt 05.09.2006 19:08 402.653.184 pagefile.sys 05.09.2006 15:24 2.734 VundoFix.txt 13.08.2006 13:50 92 pmcs.txt 13.08.2006 13:50 101 recorder.txt 13.08.2006 13:50 31.756 checkrun.txt Dieser Beitrag wurde am 05.09.2006 um 20:01 Uhr von DisturbeD editiert.
|
|
|
||
05.09.2006, 23:53
Ehrenmitglied
Beiträge: 29434 |
#11
Skorpi
1. Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten **poste das log vom avenger, was erscheint. ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankPC neustarten ** scanne mit smitfraudfix (option 1 und 2 ) und poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2006, 00:06
Ehrenmitglied
Beiträge: 29434 |
#12
DarthKitty
** poste noch mal die 4 logs von datfindbat ** scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
#13
DisturbeD
0. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 1. Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten **poste das log vom avenger, was erscheint. ** scanne mit smitfraudfix (option 1 und 2 ) und poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html ** Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k ** scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2006, 08:44
...neu hier
Themenstarter Beiträge: 5 |
#14
__________________________________________datfindbat__________________________
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\WINDOWS\system32 06.09.2006 07:40 41.106 vsconfig.xml 03.09.2006 12:41 149.992 FNTCACHE.DAT 27.08.2006 18:54 2.206 wpa.dbl 13.08.2006 00:35 8.116 d3d9caps.dat 09.08.2006 21:03 8.325.544 MRT.exe 30.07.2006 16:16 57.384 avsda.dll 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 05.07.2006 12:55 1.057.792 kernel32.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 23.06.2006 13:10 664.576 wininet.dll 23.06.2006 13:10 474.624 shlwapi.dll 23.06.2006 13:10 146.432 msrating.dll 23.06.2006 13:10 448.512 mshtmled.dll 23.06.2006 13:10 1.494.016 shdocvw.dll 23.06.2006 13:10 532.480 mstime.dll 23.06.2006 13:10 39.424 pngfilt.dll 23.06.2006 13:10 1.056.256 danim.dll 23.06.2006 13:10 96.768 inseng.dll 23.06.2006 13:10 152.064 cdfview.dll 23.06.2006 13:10 1.022.976 browseui.dll 23.06.2006 13:10 16.384 jsproxy.dll 23.06.2006 13:10 251.392 iepeers.dll 23.06.2006 13:10 357.888 dxtmsft.dll 23.06.2006 13:10 55.808 extmgr.dll 23.06.2006 13:10 205.312 dxtrans.dll 23.06.2006 10:53 27.136 xpsp3res.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\DOKUME~1\Li2\LOKALE~1\Temp 06.09.2006 07:47 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}29110.html 06.09.2006 07:47 16.384 ~DFD423.tmp 06.09.2006 07:47 512 ~DFB8A6.tmp 06.09.2006 07:47 16.384 ~DFB895.tmp 05.09.2006 21:48 255 tmp19.tmp 05.09.2006 21:48 0 tmp18.tmp 05.09.2006 19:11 16.384 ~DFFA5B.tmp 05.09.2006 15:28 16.384 ~DFD1DE.tmp 05.09.2006 15:26 16.384 ~DFB020.tmp 05.09.2006 14:29 16.384 ~DFE134.tmp 05.09.2006 14:19 16.384 ~DFBCCB.tmp 05.09.2006 06:27 16.384 ~DFF331.tmp 17.02.2006 16:55 143.360 SSUPDATE.EXE 13 Datei(en) 276.177 Bytes 0 Verzeichnis(se), 5.647.204.352 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\WINDOWS 06.09.2006 07:46 1.116.928 WindowsUpdate.log 06.09.2006 07:40 0 0.log 06.09.2006 07:40 2.048 bootstat.dat 05.09.2006 22:54 32.630 SchedLgU.Txt 05.09.2006 22:54 50 wiaservc.log 05.09.2006 22:54 607 wiadebug.log 05.09.2006 19:56 30 Iedit.INI 05.09.2006 19:32 54.156 QTFont.qfn 05.09.2006 06:29 0 setuperr.log 05.09.2006 06:29 60 setupact.log 04.09.2006 16:38 516.330 ntbtlog.txt 01.09.2006 23:12 135 NeroDigital.ini 01.09.2006 17:14 18.007 setupapi.log 30.08.2006 17:36 227 system.ini 30.08.2006 17:36 700 win.ini 20.08.2006 13:04 10.946 ModemLog_Motorola USB Modem #2.txt 13.08.2006 22:40 6.904 WGA.log 13.08.2006 01:56 1.374 imsins.BAK 25.07.2006 11:14 8.569 mozver.dat 07.07.2006 19:19 515 gsb99.ini 12.06.2006 12:48 1.409 QTFont.for Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5C3E-59E9 Verzeichnis von C:\ 06.09.2006 07:49 0 sys.txt 06.09.2006 07:48 4.382 system.txt 06.09.2006 07:48 924 systemtemp.txt 06.09.2006 07:48 101.285 system32.txt 06.09.2006 07:40 536.399.872 hiberfil.sys 06.09.2006 07:40 805.306.368 pagefile.sys 05.09.2006 14:28 1.302 avenger.txt 05.09.2006 06:35 7.811 ComboFix.txt 05.09.2006 06:20 1.140 VundoFix.txt 04.09.2006 17:32 8.442 ComboFix2.txt 04.09.2006 17:29 155 ComboFix3.txt 30.08.2006 17:36 211 boot.ini 30.08.2006 17:36 211 boot.ini.SAB 14.08.2006 13:19 0 DBS.TXT ____________________________panda_______________________________ Incident Status Location Adware:Adware/KeenValue Not disinfected C:\avenger\backup.zip[avenger/wmipropd.dll] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as-eu.falkag.net/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as1.falkag.de/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[sel.as-eu.falkag.net/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as1.falkag.de/] Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.mediaplex.com/] Spyware:Cookie/QkSrv Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.qksrv.net/] Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.tribalfusion.com/] Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.z1.adserver.com/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[as1.falkag.de/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.as-us.falkag.net/] Spyware:Cookie/Clickbank Not disinfected C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Mozilla\Firefox\Profiles\b6k4aqnp.default\cookies-1.txt[.clickbank.net/] Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Li2\Cookies\li2@atwola[1].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Li2\Desktop\systemtools\VundoFix\VundoFix\process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Li2\Desktop\systemtools\VundoFix.exe[process.exe] |
|
|
||
06.09.2006, 11:00
Ehrenmitglied
Beiträge: 29434 |
#15
DarthKitty
1. loeschen: C:\avenger\backup.zip C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Temp\tmp19.tmp 2. Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k dann muesste wieder alles o.k sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe dieses Vieh schon seit ner Weile, bitte helft mir!
Hier meine ganzen Logs und Scans:
______________________________________________virustotal.com____________________________________________
Complete scanning result of "ssqpn.dll", received in VirusTotal at 09.04.2006, 16:58:45 (CET).
Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found
Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
packers: PecBundle, PECompact
_________________________________________________HijackThis________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 16:45:34, on 4.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\rainlendar\Rainlendar.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
D:\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legend-green-dragon.de/logd/index.php?op=timeout
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit Rainlendar.lnk = C:\Programme\rainlendar\Rainlendar.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
____________CleanUp!______________________________________
An dieser Stelle durchgeführt, aber sicher nicht zu posten, denke ich -.-
______________________________________________________________Combofix____________________________________________________-
Li2 - 06-09-04 17:30:16.53
ComboFix 06.09.04BT - Running from: C:\Dokumente und Einstellungen\Li2\Desktop
Microsoft Windows XP [Version 5.1.2600]
((((((((((((((((((((((((((((((( Files Created from 2006-08-04 to 2006-09-04 ))))))))))))))))))))))))))))))))))
2006-08-17 21:55 13,844 --a------ C:\WINDOWS\system32\ujtdtcdp.exe
2006-08-16 21:55 12,820 --a------ C:\WINDOWS\system32\obgwadyh.exe
2006-08-13 11:41 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2006-08-13 11:41 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2006-08-13 11:41 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2006-08-13 11:41 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2006-08-12 21:54 867,507 ---hs---- C:\WINDOWS\system32\npqss.bak2
2006-08-12 09:54 573,492 --------- C:\WINDOWS\system32\ssqpn.dll
2006-08-12 09:54 307,523 ---hs---- C:\WINDOWS\system32\npqss.bak1
2006-08-12 09:34 40,973 ---hs---- C:\WINDOWS\system32\pmnllij.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-09-04 17:28 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-04 17:15 -------- d-------- C:\Programme\CleanUp!
2006-09-04 17:05 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-09-03 17:37 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-09-03 17:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-03 12:39 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Azureus
2006-09-03 12:25 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\X-Chat 2
2006-09-03 12:18 -------- d-------- C:\Programme\X-Chat 2
2006-09-03 10:26 -------- d-------- C:\Programme\Catz
2006-08-31 15:46 -------- d-------- C:\Programme\ICQLite
2006-08-30 20:13 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-29 22:06 -------- d-------- C:\Programme\ICQToolbar
2006-08-28 16:24 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQ Toolbar
2006-08-23 17:14 -------- d-------- C:\Programme\Azureus
2006-08-20 15:05 -------- d-------- C:\Programme\Alcohol Toolbar
2006-08-19 16:49 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\dvdcss
2006-08-15 08:56 -------- d-------- C:\Programme\UltraISO
2006-08-14 20:45 -------- d-------- C:\Programme\Smart Projects
2006-08-14 19:02 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-08-14 19:02 -------- d-------- C:\Programme\Alcohol Soft
2006-08-14 18:58 96256 --a------ C:\WINDOWS\system32\drivers\sptd6941.sys
2006-08-14 18:58 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-08-14 13:18 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-14 13:18 -------- d-------- C:\Programme\mobile PhoneTools
2006-08-14 12:55 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\ICQLite
2006-08-13 01:55 -------- d-------- C:\Programme\Internet Explorer
2006-08-11 15:28 -------- d-------- C:\Programme\Opera
2006-07-31 18:33 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\vlc
2006-07-31 18:08 -------- d-------- C:\Programme\VideoLAN
2006-07-30 16:16 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-07-27 22:17 -------- d-------- C:\Dokumente und Einstellungen\Li2\Anwendungsdaten\Rainlendar
2006-07-27 22:15 -------- d-------- C:\Programme\rainlendar
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-24 14:34 433664 --a------ C:\WINDOWS\system32\ss2uinst.exe
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"atwtusb"="atwtusb.exe beta"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"MaxRecentDocs"=dword:0000000f
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e0,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ctfmon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"Ulead AutoDetector v2"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\1-Klick-Wartung.job
Completion time: Mon 04.09.2006 17:32:51.75
ComboFix.txt
ComboFix2.txt
________________________________________________datfind.bat____________________________________________
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9
Verzeichnis von C:\WINDOWS\system32
04.09.2006 17:37 1.808 npqss.ini
04.09.2006 17:25 41.106 vsconfig.xml
03.09.2006 13:04 867.507 npqss.bak2
03.09.2006 12:41 149.992 FNTCACHE.DAT
27.08.2006 18:54 2.206 wpa.dbl
17.08.2006 21:55 13.844 ujtdtcdp.exe
16.08.2006 21:55 12.820 obgwadyh.exe
13.08.2006 00:35 8.116 d3d9caps.dat
12.08.2006 09:54 307.523 npqss.bak1
12.08.2006 09:54 573.492 ssqpn.dll
12.08.2006 09:34 40.973 pmnllij.dll
09.08.2006 21:03 8.325.544 MRT.exe
30.07.2006 16:16 57.384 avsda.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
24.07.2006 14:34 433.664 ss2uinst.exe
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 10:53 27.136 xpsp3res.dll
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9
Verzeichnis von C:\DOKUME~1\Li2\LOKALE~1\Temp
04.09.2006 17:25 16.384 ~DF6277.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 4.653.707.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9
Verzeichnis von C:\WINDOWS
04.09.2006 17:31 2.086.009 WindowsUpdate.log
04.09.2006 17:25 0 0.log
04.09.2006 17:24 2.048 bootstat.dat
04.09.2006 17:23 32.630 SchedLgU.Txt
04.09.2006 16:38 516.330 ntbtlog.txt
04.09.2006 16:15 54.156 QTFont.qfn
01.09.2006 23:37 413 wiadebug.log
01.09.2006 23:12 135 NeroDigital.ini
01.09.2006 23:05 50 wiaservc.log
01.09.2006 17:14 18.007 setupapi.log
30.08.2006 17:36 700 win.ini
30.08.2006 17:36 227 system.ini
21.08.2006 20:38 30 Iedit.INI
20.08.2006 13:04 10.946 ModemLog_Motorola USB Modem #2.txt
13.08.2006 22:40 6.904 WGA.log
13.08.2006 01:56 1.374 imsins.BAK
25.07.2006 11:14 8.569 mozver.dat
07.07.2006 19:19 515 gsb99.ini
12.06.2006 12:48 1.409 QTFont.for
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C3E-59E9
Verzeichnis von C:\
04.09.2006 17:39 0 sys.txt
04.09.2006 17:39 4.282 system.txt
04.09.2006 17:38 290 systemtemp.txt
04.09.2006 17:37 101.724 system32.txt
04.09.2006 17:32 8.442 ComboFix.txt
04.09.2006 17:29 155 ComboFix2.txt
04.09.2006 17:24 536.399.872 hiberfil.sys
04.09.2006 17:24 805.306.368 pagefile.sys
30.08.2006 17:36 211 boot.ini
14.08.2006 13:19 0 DBS.TXT
13.08.2006 09:06 490 VundoFix.txt
_______________________________________________________________________________