Home » Viren, Trojaner & Malware Forum » AntiVir löscht Viren nicht ! puper.bx agent.ri etc. » Themenansicht

AntiVir löscht Viren nicht ! puper.bx agent.ri etc.

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.09.2006, 13:35
didelido
Member

Beiträge: 11
#1 Hallo, ich habe viele Threads hier schon gelesen und auch schon so manches auspropiert, aber leider bekomme ich immer wieder von AntiVir meldungen über Agent.ri; Puper.bx; dldr.agent.uj.208 sowie click.agent.ac

Ich wäre sehr Dankbar, wenn mir hier jemand helfen kann diese wieder loszuwerden.
Hierzu habe ich ein Logfile mit hijackthis erststellt:

Logfile of HijackThis v1.99.1
Scan saved at 13:29:37, on 10.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\aakillall\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\{54526B0D-0CF4-4711-AF2F-B8440DABB3CE}.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\{54526B0D-0CF4-4711-AF2F-B8440DABB3CE}.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zoyxk.exe] C:\WINDOWS\system32\zoyxk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135930646222
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A9315B7-DC4A-4264-8844-7EAC17810E28}: NameServer = 85.255.113.106,85.255.112.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C17DCC4-9ED7-4820-A905-DDE115EB2CA0}: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O20 - Winlogon Notify: obbn13t - obbn13t.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
11.09.2006, 14:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 didelido

wer Kill&Clean laedt, braucht sich nicht zu wundern, wenn der Rechner zerstoert ist und die internetverbindung auf einen Server in die Ukraine umgeleitet wird.. ;)

1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
poste das log

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.09.2006, 21:39
didelido
Member

Themenstarter

Beiträge: 11
#3 Zuerst einmal vielen Dank vorab für die Hilfe.

Ich habe gestern Nacht mal Spybot Search and Destroy durchlaufen lassen.
Der hat so einiges gefunden gehabt. Ansonsten hab ich mich jetzt an das gehalten, was Du vorgeschlagen hast Sabina.

1. Hier das Logfile von blacklight:

09/11/06 21:28:40 [Info]: BlackLight Engine 1.0.46 initialized
09/11/06 21:28:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/11/06 21:28:40 [Note]: 7019 4
09/11/06 21:28:40 [Note]: 7005 0
09/11/06 21:28:54 [Note]: 7006 0
09/11/06 21:28:54 [Note]: 7011 1364
09/11/06 21:28:54 [Note]: 7026 0
09/11/06 21:28:54 [Note]: 7026 0
09/11/06 21:28:57 [Note]: FSRAW library version 1.7.1019
09/11/06 21:30:23 [Info]: Hidden file: c:\WINDOWS\system32\csocb.exe
09/11/06 21:30:23 [Note]: 7002 32
09/11/06 21:30:23 [Note]: 7003 1
09/11/06 21:30:23 [Note]: 10002 1
09/11/06 21:30:24 [Info]: Hidden file: c:\WINDOWS\system32\dmgrn.exe
09/11/06 21:30:24 [Note]: 7002 32
09/11/06 21:30:24 [Note]: 7003 1
09/11/06 21:30:24 [Note]: 10002 1
09/11/06 21:31:49 [Note]: 7007 0




2. Das CleanUp hab ich eingestellt und durchgeführt.





3. Jetzt die 4 Logfiles:

Verzeichnis von C:\WINDOWS\system32

11.09.2006 22:07 43.573 nvapps.xml
11.09.2006 21:40 28.692 BMXBkpCtrlState-{00000000-00000000-0000000D-00001102-00000002-00201102}.rfx
11.09.2006 21:40 28.692 BMXCtrlState-{00000000-00000000-0000000D-00001102-00000002-00201102}.rfx
11.09.2006 21:40 16.916 BMXState-{00000000-00000000-0000000D-00001102-00000002-00201102}.rfx
11.09.2006 21:40 16.916 BMXStateBkp-{00000000-00000000-0000000D-00001102-00000002-00201102}.rfx
11.09.2006 21:40 1.080 settingsbkup.sfm
11.09.2006 21:40 1.080 settings.sfm
11.09.2006 21:40 24 DVCStateBkp-{00000000-00000000-0000000D-00001102-00000002-00201102}.dat
11.09.2006 21:40 24 DVCState-{00000000-00000000-0000000D-00001102-00000002-00201102}.dat
09.09.2006 11:10 13.646 wpa.dbl
08.09.2006 02:08 0 ansi.cfg
09.06.2006 00:44 57.384 avsda.dll




Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
<Dieses Verzeichnis ist leer.>




Verzeichnis von C:\WINDOWS

11.09.2006 22:07 3.373.917 {00000000-00000000-0000000D-00001102-00000002-00201102}.BAK
11.09.2006 22:07 3.373.917 {00000000-00000000-0000000D-00001102-00000002-00201102}.CDF
11.09.2006 21:41 0 0.log
11.09.2006 21:41 1.046.404 WindowsUpdate.log
11.09.2006 21:41 2.048 bootstat.dat
11.09.2006 21:40 32.584 SchedLgU.Txt
11.09.2006 21:40 50 wiaservc.log
11.09.2006 21:40 216 wiadebug.log
11.09.2006 21:29 0 Sti_Trace.log
10.09.2006 12:13 112.336 ntbtlog.txt
10.09.2006 10:03 4.456 rdt.ini
31.07.2006 22:47 1.187 wincmd.ini
25.06.2006 10:11 921 HBCIKRNL.INI
21.06.2006 22:29 306 SBWIN.INI




Verzeichnis von C:\

11.09.2006 22:19 0 sys.txt
11.09.2006 22:17 4.283 system.txt
11.09.2006 22:14 127 systemtemp.txt
11.09.2006 22:12 96.380 system32.txt
11.09.2006 21:41 536.399.872 hiberfil.sys
11.09.2006 21:41 805.306.368 pagefile.sys
06.09.2006 14:11 14 config.sy_







Vielleicht hilft es ja weiter oder gibt Aufschlüsse, hier nochmal das neue Logfile von Hijackthis nach dem durchlauf mit Spybot S&D.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\aakillall\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [tgxth.exe] C:\WINDOWS\system32\tgxth.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135930646222
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A9315B7-DC4A-4264-8844-7EAC17810E28}: NameServer = 85.255.113.106,85.255.112.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C17DCC4-9ED7-4820-A905-DDE115EB2CA0}: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O20 - Winlogon Notify: obbn13t - obbn13t.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Dieser Beitrag wurde am 11.09.2006 um 22:25 Uhr von didelido editiert.
Seitenanfang Seitenende
11.09.2006, 22:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 0.
abarbeiten
http://virus-protect.org/artikel/tools/fixwareout.html
poste den report

1.
falls "Username" nicht korrekt ist, schreibe selbst den korrekten rein, damit der avenger funktioniert

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar
HKEY_CURRENT_USER\Software\KillAndClean

Files to delete:
c:\WINDOWS\system32\csocb.exe
c:\WINDOWS\system32\dmgrn.exe
c:\WINDOWS\system32\dmbet.exe
C:\WINDOWS\system32\tgxth.exe
c:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
C:\WINDOWS\system32\{54526B0D-0CF4-4711-AF2F-B8440DABB3CE}.dll
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\kc.tmp
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\wo.tmp
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url
C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url
C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\*** Dating - Real Girls For Real ***.url
C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url
C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url

Folders to delete:
C:\Programme\KillAndClean
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"

O4 - HKLM\..\Run: [tgxth.exe] C:\WINDOWS\system32\tgxth.exe

O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A9315B7-DC4A-4264-8844-7EAC17810E28}: NameServer = 85.255.113.106,85.255.112.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C17DCC4-9ED7-4820-A905-DDE115EB2CA0}: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.106 85.255.112.111
O20 - Winlogon Notify: obbn13t - obbn13t.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken
85.255.113.106 85.255.112.111 muss aus !

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

**
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.09.2006, 23:07
didelido
Member

Themenstarter

Beiträge: 11
#5 Super schnelle Antwort von Dir :-)

0. Log

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2D568485F3FF-927A-7C94-BAE5-BF366DDC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7871D2C76C3F-1959-9EC4-3A0B-437E2F18{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C725FA9AFB21-B759-5E84-FE9F-76F6C324{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F87F89BE36FB-931A-1064-0E0C-5281D9D6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}735C94B0B883-A059-9C14-4743-1D7A698A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6CD067A709E6-F6EA-9484-CF53-25A9FC39{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}573F36E15A35-5D2A-61D4-6718-50F3810B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FBA41BB21048-B1E9-D6E4-93ED-38A7808D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7A4E799E9B7A-6938-1D84-BDCF-F80A666C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8754E7D63295-2D7A-DB04-C2F5-45A020CE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tebmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0E2D79B855C9-8949-0634-CBC0-00710E20{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B89084E441D1-C5F9-8DB4-E2B7-CAF043A3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9DFB20660C8-2B48-1414-35E8-6896F501{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0AB31EF74F4B-535B-FE84-497C-69F8A6CB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8FBFB19B2C72-8E1B-5284-B580-E387E701{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}90A633649C0A-13B9-A554-DA2B-B314CA0B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FB0A1CA617AE-1E28-8424-FD3D-6F011B67{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}33A63976D353-338A-6834-7444-10998474{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...

Random Runs removed from HKLM
"dmbet.exe"=-








1. Der Name ist Korrekt. Der Ordner ist wirklich leer.








2. Avenger Logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\irdeqvfx

*******************

Script file located at: \??\C:\WINDOWS\system32\bsihhqli.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\WINDOWS\system32\csocb.exe not found!
Deletion of file c:\WINDOWS\system32\csocb.exe failed!

Could not process line:
c:\WINDOWS\system32\csocb.exe
Status: 0xc0000034



File c:\WINDOWS\system32\dmgrn.exe not found!
Deletion of file c:\WINDOWS\system32\dmgrn.exe failed!

Could not process line:
c:\WINDOWS\system32\dmgrn.exe
Status: 0xc0000034

File c:\WINDOWS\system32\dmbet.exe deleted successfully.


File C:\WINDOWS\system32\tgxth.exe not found!
Deletion of file C:\WINDOWS\system32\tgxth.exe failed!

Could not process line:
C:\WINDOWS\system32\tgxth.exe
Status: 0xc0000034



File c:\WINDOWS\rdt.ini not found!
Deletion of file c:\WINDOWS\rdt.ini failed!

Could not process line:
c:\WINDOWS\rdt.ini
Status: 0xc0000034



File C:\WINDOWS\balloon.wav not found!
Deletion of file C:\WINDOWS\balloon.wav failed!

Could not process line:
C:\WINDOWS\balloon.wav
Status: 0xc0000034



File C:\WINDOWS\system32\{54526B0D-0CF4-4711-AF2F-B8440DABB3CE}.dll not found!
Deletion of file C:\WINDOWS\system32\{54526B0D-0CF4-4711-AF2F-B8440DABB3CE}.dll failed!

Could not process line:
C:\WINDOWS\system32\{54526B0D-0CF4-4711-AF2F-B8440DABB3CE}.dll
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\Username\Anwendungsdaten\kc.tmp for deletion
Deletion of file C:\Dokumente und Einstellungen\Username\Anwendungsdaten\kc.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\kc.tmp
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\Username\Anwendungsdaten\wo.tmp for deletion
Deletion of file C:\Dokumente und Einstellungen\Username\Anwendungsdaten\wo.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\wo.tmp
Status: 0xc000003a



File C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\*** Dating - Real Girls For Real ***.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\*** Dating - Real Girls For Real ***.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\*** Dating - Real Girls For Real ***.url
Status: 0xc0000033



File C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Tramadol Special Offer!.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Free Spyware Scanner..url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url
Status: 0xc000003a



Could not open file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url for deletion
Deletion of file C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url
Status: 0xc000003a



Folder C:\Programme\KillAndClean not found!
Deletion of folder C:\Programme\KillAndClean failed!

Could not process line:
C:\Programme\KillAndClean
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.







Hijackthis benutzt und die Einträge gefixt.

Ebenso die eingetragene IP in automatisch geändert.

Hoster benutzt





F-Secure durchlaufen lassen.

Danach Superantispyware durchlaufen lassen.
Jedoch konnte ich hierbei kein scanreport finden ?

Danach das letzte Mal Hijackthis durchlaufen lassen, folgend ist der Scanreport davon.

Logfile of HijackThis v1.99.1
Scan saved at 00:19:08, on 13.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\aakillall\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [tgxth.exe] C:\WINDOWS\system32\tgxth.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135930646222
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Dieser Beitrag wurde am 13.09.2006 um 00:22 Uhr von didelido editiert.
Seitenanfang Seitenende
11.09.2006, 23:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 o.k. poste dann so nach und nach alle logs, damit ich immer weiss, was sich so tut ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2006, 00:24
didelido
Member

Themenstarter

Beiträge: 11
#7 Im letzten Post ist das aufgeführt was ich so alles gemacht hab.
Anti-Vir meckert jetzt schon seltener :-)
Seitenanfang Seitenende
13.09.2006, 01:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 0.
fixe mit dem HijackThis
O4 - HKLM\..\Run: [tgxth.exe] C:\WINDOWS\system32\tgxth.exe

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scanne mit kaspersky und mit panda und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2006, 07:41
didelido
Member

Themenstarter

Beiträge: 11
#9 0. gefixt

1. durchgeführt

2.a) Scanreport von kaspersky
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 14. September 2006 00:10:41
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 14/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 223177
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 41463
Viren gefunden: 4
Infizierte Objekte gefunden: 5 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:57:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\a\Programme\setupmp3towav.exe/WISE0020.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.Gator.1050 übersprungen
C:\a\Programme\setupmp3towav.exe/WISE0024.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.EZula.ai übersprungen
C:\a\Programme\setupmp3towav.exe WiseSFX: infiziert - 2 übersprungen
C:\Avenger\DMBET.0XE Infizierte Objekte: Trojan.Win32.Small.fb übersprungen
C:\Dokumente und Einstellungen\Jan\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006091320060914\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Microsoft Office\Office10\Makro\EUROTOOL.XLA Das Objekt ist gesperrt übersprungen
C:\RECYCLER\S-1-5-21-448539723-507921405-1060284298-1003\DC1.0XE Infizierte Objekte: Trojan.Win32.DNSChanger.ef übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.



2.b) Scanreport von Panda
Incident Status Location

Potentially unwanted tool:application/kill&clean Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\extensions\CmdMapping\{BF69DF00-2734-477F-8257-27CD04F88779}
Virus:Trj/Ruins.MB Disinfected C:\Avenger\DMBET.0XE
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Jan\Cookies\jan@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Jan\Cookies\jan@as1.falkag[2].txt
Virus:Trj/Ruins.MB Disinfected C:\RECYCLER\S-1-5-21-448539723-507921405-1060284298-1003\DC1.0XE
Dialer;)ialer.ABR Not disinfected C:\WINDOWS\Downloaded Program Files\startbf2.inf


«
Seitenanfang Seitenende
14.09.2006, 11:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 didelido

Avenger

Zitat

Files to delete:
C:\WINDOWS\Downloaded Program Files\startbf2.inf
C:\RECYCLER\S-1-5-21-448539723-507921405-1060284298-1003\DC1.0XE
C:\WINDOWS\system32\tgxth.exe
C:\a\Programme\setupmp3towav.exe
**
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 00:03
saturn99999
Member

Beiträge: 13
#11 hi, habe das gleicheproblem und bin für hilfe seeeehr dankbar!, habe alles so gemacht, wie hier angegeben,poste hier mal die ganzen logs, habe bei dem avenger die beiden zeilen weggelassen, wo es um die usernamen ging, die konnte ich nicht korrekt eingeben, habe uch keinen ordner anwendungsadten. es gab trotzdem keine fehlermeldung, aber die links stehen trotzdem noch im internet explorerist das schlimm? ansonsten die bitte nachzu schauen, was dir an den logs so auffällt, daaanke!
(ps: bin grad mit dem f-secure-scanner amm machen, werde das ergebnis dann posten

09/14/06 22:39:29 [Info]: BlackLight Engine 1.0.46 initialized
09/14/06 22:39:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/14/06 22:39:29 [Note]: 7019 4
09/14/06 22:39:29 [Note]: 7005 0
09/14/06 22:39:30 [Note]: 7006 0
09/14/06 22:39:30 [Note]: 7011 500
09/14/06 22:39:30 [Note]: 7026 0
09/14/06 22:39:30 [Note]: 7026 0
09/14/06 22:39:32 [Note]: FSRAW library version 1.7.1019
09/14/06 22:40:36 [Info]: Hidden file: c:\WINDOWS\system32\csgbe.exe
09/14/06 22:40:36 [Note]: 7002 32
09/14/06 22:40:36 [Note]: 7003 1
09/14/06 22:40:36 [Note]: 10002 1
09/14/06 22:40:37 [Info]: Hidden file: c:\WINDOWS\system32\{069737DA-F473-42A3-A0A4-3A2BE54C7016}.exe
09/14/06 22:40:44 [Note]: 7002 5
09/14/06 22:40:44 [Note]: 7003 1
09/14/06 22:40:44 [Note]: 10002 1
09/14/06 22:40:45 [Info]: Hidden file: c:\WINDOWS\system32\{4BA20706-E383-44EF-917A-B10167ED9178}.exe
09/14/06 22:40:45 [Note]: 10002 1
09/14/06 22:40:45 [Info]: Hidden file: c:\WINDOWS\system32\{A98BC12A-142F-4E98-9095-CFE44E6B8955}.exe
09/14/06 22:40:45 [Note]: 10002 1
09/14/06 22:40:45 [Info]: Hidden file: c:\WINDOWS\system32\{D82D94C7-485B-46E9-AFC2-91B4F352366E}.exe
09/14/06 22:40:49 [Note]: 7002 5
09/14/06 22:40:49 [Note]: 7003 1
09/14/06 22:40:49 [Note]: 10002 1
09/14/06 22:40:49 [Info]: Hidden file: c:\WINDOWS\system32\{FD5F74B4-9F83-4E43-9C75-09AB1F41E903}.exe
09/14/06 22:40:49 [Note]: 10002 1
09/14/06 22:42:13 [Note]: 2000 1006
09/14/06 22:42:13 [Note]: 7007 0

Datentr„ger in Laufwerk C: ist N01032
Volumeseriennummer: 4419-4216

Verzeichnis von C:\WINDOWS

14.09.2006 22:41 320.268 WindowsUpdate.log
14.09.2006 22:35 0 0.log
14.09.2006 22:35 159 wiadebug.log
14.09.2006 22:35 4.238 ModemLog_Agere Systems AC'97 Modem.txt
14.09.2006 22:35 50 wiaservc.log
14.09.2006 22:35 2.048 bootstat.dat
14.09.2006 22:34 32.618 SchedLgU.Txt
14.09.2006 21:52 14.336 Thumbs.db
14.09.2006 21:35 4.395 rdt.ini
14.09.2006 21:29 6.400 balloon.wav
14.09.2006 21:21 116 NeroDigital.ini
14.09.2006 20:34 953.710 setupapi.log
04.09.2006 20:54 214.154 setupact.log
15.07.2006 19:41 264.097 PDFCreator_Toolbar_Uninstaller_8968.exe
05.06.2006 19:49 34 hpfsched.ini
26.05.2006 14:28 4.490 DirectX.log
26.05.2006 14:28 89.812 wmsetup.log
04.04.2006 21:41 1.954 MKDEMSG.LOG
04.04.2006 21:38 4.096 MKDEWE.TRN

Datentr„ger in Laufwerk C: ist N01032
Volumeseriennummer: 4419-4216

Verzeichnis von C:\

14.09.2006 22:50 0 sys.txt
14.09.2006 22:49 9.304 system.txt
14.09.2006 22:49 399 systemtemp.txt
14.09.2006 22:48 103.046 system32.txt
14.09.2006 22:35 469.291.008 hiberfil.sys
14.09.2006 22:35 704.643.072 pagefile.sys
18.03.2006 21:43 545 FSC-DeskUpdate.txt
11.03.2006 17:13 27 expand.txt
11.03.2006 17:12 211 boot.ini

Datentr„ger in Laufwerk C: ist N01032
Volumeseriennummer: 4419-4216

Verzeichnis von C:\DOKUME~1\ELISAB~1\LOKALE~1\Temp

14.09.2006 22:37 16.384 Perflib_Perfdata_814.dat
14.09.2006 22:35 32.768 ~DF8DC2.tmp
23.01.2006 15:36 429 datFind.bat
3 Datei(en) 49.581 Bytes
0 Verzeichnis(se), 44.732.739.584 Bytes frei

Datentr„ger in Laufwerk C: ist N01032
Volumeseriennummer: 4419-4216

Verzeichnis von C:\WINDOWS\system32

14.09.2006 22:35 1.434 ikhcore.log
14.09.2006 21:29 155.648 {3505B9E9-BC69-4758-86CA-153996279A95}.dll
11.09.2006 18:34 1.158 wpa.dbl
15.07.2006 14:48 253.472 FNTCACHE.DAT
15.07.2006 14:47 1.891 mapisvc.inf
13.06.2006 20:31 57.384 avsda.dll
11.04.2006 12:02 5.632 Thumbs.db

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A340648B5889-26A9-98B4-7BBF-3D7C90D5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CDC053A94F66-B259-8C24-38F8-15D92A57{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F56BEC64AACE-8ECA-27C4-CECF-548C87E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8719DE76101B-A719-FE44-383E-60702AB4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}309E14F1BA90-57C9-34E4-38F9-4B47F5DF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}055A5ACAB018-9869-3F64-D46C-5686616B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5598B6E44EFC-5909-89E4-F241-A21CB89A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}68E94288EC56-A3B9-8ED4-0426-05D85002{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3E0BEC43EDAE-277A-EB04-85AA-E1FB2298{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3568F4CCAB1B-B1AB-0F64-FDCF-89C315B5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C363C98449AE-98A8-0264-75D8-61BA6C07{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}501C2117BF7C-0AEB-4104-0597-3342E5D6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1323EA9B2A8D-5D19-0A34-D1E3-E77D2634{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E7897A4B1074-C179-0664-D49A-4EE10A2D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}42DFA731ED23-E4AB-5624-0A21-FC0329E3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}09F51DDF8FE5-FDE9-06E4-90B4-6FDCF2AC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C2C467ADC089-0C1A-F2F4-C123-4A93BDB7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F442935EB64D-4438-72B4-679B-9C0A9D31{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}14DB574D8C79-9CE9-F764-1B20-7E98EBB0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}975DCC3EB3F6-A249-8F24-CBB6-AAB9039E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CB68F0683FC5-D70A-03D4-AD9B-1FA4A0FC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}130CCF32C933-B8F8-9474-0865-85BF3C3C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E663253F4B19-2CFA-9E64-B584-7C49D28D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6107C45EB2A3-4A0A-3A24-374F-AD737960{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\lgbmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
...

Random Runs removed from HKLM
"dmbgl.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
* csr.exe C:\WINDOWS\System32\CSGBE.EXE

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSGBE.EXE 51.252 2006-09-14

Other suspects.
Directory of C:\WINDOWS\system32
{A98BC12A-142F-4E98-9095-CFE44E6B8955}.exe
{FD5F74B4-9F83-4E43-9C75-09AB1F41E903}.exe

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

Logfile of HijackThis v1.99.1
Scan saved at 23:31:27, on 14.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Elisabeth Türk\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
R3 - URLSearchHook: (no name) - {D38F38CF-B90C-9256-3FD4-7CAA71A854D8} - Dest068.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - C:\PROGRA~1\MEINPO~1\MEINPO~1.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Mein PONSline - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - C:\Programme\Mein PONSline\MeinPONSline.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [prcmon] bhoserv.exe
O4 - HKLM\..\Run: [TemplateDongle] AliceSD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinInitDll] XTermInit.exe
O4 - HKCU\..\Run: [sound64] newbreed.exe
O4 - HKCU\..\Run: [TForm1] UserSp1.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.199
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.199
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Seitenanfang Seitenende
15.09.2006, 00:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 saturn99999

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
c:\WINDOWS\system32\csgbe.exe
C:\Dokumente und Einstellungen\Elisabeth Türk\Anwendungsdaten\kc.tmp
C:\Dokumente und Einstellungen\Elisabeth Türk\Anwendungsdaten\wo.tmp
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\wo.tmp
c:\WINDOWS\system32\{3505B9E9-BC69-4758-86CA-153996279A95}.dll
c:\WINDOWS\system32\{069737DA-F473-42A3-A0A4-3A2BE54C7016}.exe
c:\WINDOWS\system32\{4BA20706-E383-44EF-917A-B10167ED9178}.exe
c:\WINDOWS\system32\{A98BC12A-142F-4E98-9095-CFE44E6B8955}.exe
c:\WINDOWS\system32\{D82D94C7-485B-46E9-AFC2-91B4F352366E}.exe
c:\WINDOWS\system32\{FD5F74B4-9F83-4E43-9C75-09AB1F41E903}.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {D38F38CF-B90C-9256-3FD4-7CAA71A854D8} - Dest068.dll (file missing)

O4 - HKLM\..\Run: [prcmon] bhoserv.exe
O4 - HKLM\..\Run: [TemplateDongle] AliceSD.exe
O4 - HKCU\..\Run: [WinInitDll] XTermInit.exe
O4 - HKCU\..\Run: [sound64] newbreed.exe
O4 - HKCU\..\Run: [TForm1] UserSp1.exe

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.199
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.199
PC neustarten

Internetverbindung manuell mit den Zugangsdaten des Providers hergestellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken
1. Click Start > Control Panel
2. Double-click Network Connections.

85.255.116.102 85.255.112.199 - muss raus !

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
scanne solange , mit Neustart zwischen durch, bis nichts mehr gefunden wird:
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
http://virus-protect.org/artikel/tools/superantispyware.html
scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 00:15
didelido
Member

Themenstarter

Beiträge: 11
#13 "Silent Runners.vbs", revision 48, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SUPERAntiSpyware" = "C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" ["SUPERAntiSpyware.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"WINDVDPatch" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"Jet Detection" = "C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
-> {HKLM...CLSID} = "ImageExtractorShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Visio11\VISSHE.DLL" [null data]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
-> {HKLM...CLSID} = "CInfoTipShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Visio11\VISSHE.DLL" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
-> {HKLM...CLSID} = "SABShellExecuteHook Class"
\InProcServer32\(Default) = "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Jan" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{F4430FE8-2638-42E5-B849-800749B94EED}\
"ButtonText" = "PartyPoker.net"
"MenuText" = "PartyPoker.net"
"Exec" = "C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe" [empty string]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 48 seconds, including 18 seconds for message boxes)
*******************

Script file located at: \??\C:\djqyxpuc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Downloaded Program Files\startbf2.inf deleted successfully.


File C:\RECYCLER\S-1-5-21-448539723-507921405-1060284298-1003\DC1.0XE not found!
Deletion of file C:\RECYCLER\S-1-5-21-448539723-507921405-1060284298-1003\DC1.0XE failed!

Could not process line:
C:\RECYCLER\S-1-5-21-448539723-507921405-1060284298-1003\DC1.0XE
Status: 0xc0000034



File C:\WINDOWS\system32\tgxth.exe not found!
Deletion of file C:\WINDOWS\system32\tgxth.exe failed!

Could not process line:
C:\WINDOWS\system32\tgxth.exe
Status: 0xc0000034

File C:\a\Programme\setupmp3towav.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
15.09.2006, 00:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 didelido

poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 17:24
saturn99999
Member

Beiträge: 13
#15 F-Secure hält sich beim cleanen schon eine halbe stunde bei einem objekt auf, ist das normal? task sagt, programm wird ausgeführt...
Dieser Beitrag wurde am 15.09.2006 um 17:43 Uhr von saturn99999 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123