TR/Proxy.Agent.DL.2 / Trojan-Downloader.Win32.Smal

#0
10.09.2006, 22:36
...neu hier

Beiträge: 6
#1 Also Antivir meldet: TR/Proxy.Agent.DL.2 und irgendetwas mit desktop
Kaspersky: C:\Programme\Windows Media Player\wmplayer.exe.tmp Infizierte Objekte: Trojan-Downloader.Win32.Small.amq

Hier mal die ganze Logs wie nach Anweisung hoffe ihr könnt mir helfen:

Logfile of HijackThis v1.99.1
Scan saved at 21:59:21, on 10.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://daosearch.com/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://daosearch.com/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe




Christoph - 06-09-10 22:21:32,69
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 ))))))))))))))))))))))))))))))))))


2006-08-26 23:14 18,432 --------- C:\WINDOWS\system32\desktop.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-06-17 13:02 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"gcasServ"="\"C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6übersicht.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\p6übersicht.lnk"
"backup"="C:\\WINDOWS\\pss\\p6übersicht.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\phase6\\phase6\\WinStart\\WinStart.exe "
"item"="p6übersicht"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Christoph^Startmenü^Programme^Autostart^UltimateZip Quick Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\Christoph\\Startmenü\\Programme\\Autostart\\UltimateZip Quick Start.lnk"
"backup"="C:\\WINDOWS\\pss\\UltimateZip Quick Start.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\ULTIMA~1\\uzqkst.exe "
"item"="UltimateZip Quick Start"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AVGCtrl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\desktop]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="desktop"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\desktop.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"



Completion time: 10.09.2006 22:22:38.88
ComboFix.txt



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2121-13EC

Verzeichnis von C:\

10.09.2006 22:25 0 sys.txt
10.09.2006 22:25 8.294 system.txt
10.09.2006 22:25 931 systemtemp.txt
10.09.2006 22:25 93.803 system32.txt
10.09.2006 22:22 6.508 ComboFix.txt
26.08.2006 23:11 100.192.256 hiberfil.sys
26.08.2006 23:11 242.221.056 pagefile.sys
26.08.2006 23:07 7.499 lxcfunst.csv
26.08.2006 23:05 100 lxcf.log
26.08.2006 22:44 427 LXCFINST.csv
26.08.2006 22:37 240 CDFE.log
26.08.2006 22:37 0 lxcffire.csv
09.04.2006 20:15 4.503 aoesync.txt
15.04.2005 17:06 194 boot.ini
07.04.2005 19:57 166 AUTOEXEC.BAT
07.04.2005 19:57 148 CONFIG.SYS
25.07.2004 13:33 227 DelUS.BAT
23.07.2004 20:59 5.787.792 zlsSetup_50_590_043.exe
27.02.2004 16:39 13.030 PDOXUSRS.NET
09.02.2004 20:29 553.687 RegCleaner.exe
03.02.2004 18:11 512 bootsect.dos
03.02.2004 18:01 29.571 BOOTLOG.TXT
03.02.2004 17:54 426 BOOTLOG.PRV
30.01.2004 16:21 54.525.952 WIN386.SWP
14.07.2003 17:37 72.425 DETLOG.TXT
16.06.2003 13:27 63 WINDOWSWinHlp32.BMK
08.06.2003 20:05 77.824 ffastun.ffo
08.06.2003 20:05 4.379 ffastun.ffa
08.06.2003 20:05 196.608 ffastun.ffl
08.06.2003 20:05 516.096 ffastun0.ffx
03.06.2003 19:17 8.006 NETLOG.TXT
03.06.2003 19:17 137.029 SETUPLOG.TXT
03.06.2003 19:15 1.676 Msdos.mxd
03.06.2003 19:15 1.676 MSDOS.SYS
03.06.2003 19:06 8.456 SUHDLOG.DAT
03.06.2003 19:06 1.708.064 SYSTEM.1ST
03.06.2003 18:50 32.768 VIDEOROM.BIN
03.06.2003 18:49 100 CONFIG.DOS
03.06.2003 18:49 134 AUTOEXEC.DOS
03.06.2003 18:38 8.456 SUHDLOG.---
03.06.2003 18:30 22 MSDOS.---
16.01.2003 17:16 967 DelUS.PIF
18.08.2001 12:00 224.032 ntldr
18.08.2001 12:00 4.952 bootfont.bin
18.08.2001 12:00 45.124 NTDETECT.COM
24.05.2001 12:59 162.304 UNWISE.EXE
15.05.1998 20:01 96.360 COMMAND.COM
15.05.1998 20:01 222.390 IO.SYS
48 Datei(en) 406.977.233 Bytes
0 Verzeichnis(se), 1.421.660.160 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2121-13EC

Verzeichnis von C:\WINDOWS

10.09.2006 19:07 1.008.721 setupapi.log
10.09.2006 19:06 400.653 WindowsUpdate.log
26.08.2006 23:12 0 0.log
26.08.2006 23:11 2.048 bootstat.dat
26.08.2006 23:09 32.644 SchedLgU.Txt
26.08.2006 23:09 216 wiadebug.log
26.08.2006 23:09 50 wiaservc.log
26.06.2005 19:37 57.893 tsoc.log
26.06.2005 19:37 48.156 comsetup.log
26.06.2005 19:37 27.859 ntdtcsetup.log
26.06.2005 19:37 1.917 imsins.log
26.06.2005 19:37 167.517 iis6.log
26.06.2005 19:37 57.147 ocgen.log
26.06.2005 19:37 4.675 ocmsn.log
26.06.2005 19:37 5.941 msgsocm.log
26.06.2005 19:37 109.663 FaxSetup.log
26.06.2005 19:36 40.208 msmqinst.log
26.06.2005 19:35 171.500 setupact.log
03.06.2005 14:47 43 FZapper.ini
29.05.2005 10:22 1.165 OEWABLog.txt
26.05.2005 14:55 132 Skullbyte Match.ini
15.05.2005 10:45 1.955 ACROREAD.INI
04.05.2005 21:04 811 win.ini
01.05.2005 10:44 26 yguaotf.dat
30.04.2005 18:17 524 bpfdat.dat

29.04.2005 17:52 466 cncscore.ini
27.04.2005 16:15 83 WinFight.ini
17.04.2005 17:01 83 wwp.INI
15.04.2005 17:06 273 system.ini
07.04.2005 20:28 400 ODBC.INI
07.04.2005 20:28 4.335 ODBCINST.INI
07.04.2005 20:01 4 msoffice.ini
08.02.2005 13:56 13.793 KB841356.log
08.02.2005 13:56 1.355 imsins.BAK
08.02.2005 13:53 11.039 KB841533.log
31.01.2005 20:23 4.022 KB840987.log
31.01.2005 20:05 3.435 KB873376.log
31.01.2005 14:57 275 TZSPII.dat
30.01.2005 15:29 660 Ulead32.ini
30.01.2005 14:30 114 maxlink.ini
30.01.2005 14:30 81 TB96.INI
28.01.2005 19:27 121.450 wmsetup.log
17.01.2005 14:54 87.856 hausaufgaben[hun-10476,1].exe
16.01.2005 10:01 74.752 ST6UNST.EXE
10.01.2005 18:54 4 info147.sys
10.01.2005 18:53 3.588.275 Planet-F1 The Girls.exe
10.01.2005 18:53 28.672 kmouse32.dll
10.01.2005 18:52 86.568 Planet-F1 The Girls.scr
10.01.2005 13:42 40.960 f1glamour2001.dll
10.01.2005 13:42 18.192 f1glamour2001.dat
10.01.2005 13:42 621.912 f1glamour2001.scr
10.01.2005 13:42 3.313.616 f1glamour2001.exe

09.01.2005 15:57 48 scmate.ini
16.12.2004 15:56 46 wslam.ini
16.12.2004 15:19 796.672 GPInstall.exe
16.12.2004 15:02 469.712 macromix.dll
16.12.2004 15:02 30.544 dirdib.drv
01.12.2004 17:44 36 Phantom.ini
07.11.2004 19:10 83 Baby Boh!.ini
07.11.2004 17:46 83.198 DirectX.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2121-13EC

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

10.09.2006 22:24 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}9433.html
10.09.2006 21:28 16.384 ~DFD974.tmp
10.09.2006 21:28 512 ~DFD96A.tmp
10.09.2006 21:28 16.384 ~DFD961.tmp
10.09.2006 21:28 16.384 ~DFD938.tmp
10.09.2006 21:28 512 ~DFD957.tmp
10.09.2006 21:28 512 ~DFD941.tmp
10.09.2006 21:28 16.384 ~DFD94E.tmp
10.09.2006 21:28 49.152 ~DFD97D.tmp
10.09.2006 21:28 16.384 ~DFCE51.tmp
10.09.2006 21:28 16.384 ~DFB7F1.tmp
10.09.2006 21:28 512 ~DFB7FA.tmp
26.08.2006 23:14 32.768 ~DFB3EE.tmp
13 Datei(en) 183.250 Bytes
0 Verzeichnis(se), 1.421.701.120 Bytes frei

Anhang: system32.txt
Dieser Beitrag wurde am 10.09.2006 um 22:42 Uhr von ChristophR editiert.
Seitenanfang Seitenende
10.09.2006, 22:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ChristophR

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"desktop"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"desktop"=-

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"desktop"=-
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\desktop

Files to delete:
C:\WINDOWS\yguaotf.dat
C:\WINDOWS\bpfdat.dat
C:\WINDOWS\hausaufgaben[hun-10476,1].exe
C:\WINDOWS\system32\desktop.dll
C:\WINDOWS\system32\desktop.dat
C:\WINDOWS\System32\desktop.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://daosearch.com/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://daosearch.com/search.php
-----------------------------------------------------------------

+
noch mal das log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.09.2006, 22:59
...neu hier

Themenstarter

Beiträge: 6
#3 Ich hab ein problem bei avenger. Wenn ich Input script manually (anhaken) mache wo geb ich da den text ein?

Ah die lupe ok ;)
Dieser Beitrag wurde am 10.09.2006 um 23:03 Uhr von ChristophR editiert.
Seitenanfang Seitenende
10.09.2006, 23:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 wenn du anklickst: Input script manually
und dann rechts diese Lupe - oeffnet sich ein Fenster, wo du es reinkopierst

Beispiel:

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.09.2006, 23:18
...neu hier

Themenstarter

Beiträge: 6
#5 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\offgtlod

*******************

Script file located at: \??\C:\Program Files\yeparyxb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\yguaotf.dat deleted successfully.
File C:\WINDOWS\bpfdat.dat deleted successfully.
File C:\WINDOWS\hausaufgaben[hun-10476,1].exe deleted successfully.
File C:\WINDOWS\system32\desktop.dll deleted successfully.
File C:\WINDOWS\system32\desktop.dat deleted successfully.


File C:\WINDOWS\System32\desktop.exe not found!
Deletion of file C:\WINDOWS\System32\desktop.exe failed!

Could not process line:
C:\WINDOWS\System32\desktop.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\desktop deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Christoph - 06-09-10 23:17:55,74
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 ))))))))))))))))))))))))))))))))))


2006-09-10 23:01 126,976 --a------ C:\zip.exe
2006-09-10 23:01 116 --a------ C:\avexport.bat
2006-09-10 23:01 1,080 --a------ C:\ovjthbyh.bat


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-10 23:01 60416 --a------ C:\WINDOWS\system32\drivers\paemywvq.sys
2006-06-17 13:02 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"gcasServ"="\"C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"
"oslsalbu"="C:\\ovjthbyh.bat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6übersicht.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\p6übersicht.lnk"
"backup"="C:\\WINDOWS\\pss\\p6übersicht.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\phase6\\phase6\\WinStart\\WinStart.exe "
"item"="p6übersicht"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Christoph^Startmenü^Programme^Autostart^UltimateZip Quick Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\Christoph\\Startmenü\\Programme\\Autostart\\UltimateZip Quick Start.lnk"
"backup"="C:\\WINDOWS\\pss\\UltimateZip Quick Start.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\ULTIMA~1\\uzqkst.exe "
"item"="UltimateZip Quick Start"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AVGCtrl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"



Completion time: 10.09.2006 23:18:53.45
ComboFix.txt
Seitenanfang Seitenende
10.09.2006, 23:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 hast du die reg-Datei erstellt ?? die Eintraege sind alle noch da... ;)

+
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

---------------------------------------------------
ist fuer mich
C:\WINDOWS\system32\drivers\paemywvq.sys
C:\zip.exe
C:\avexport.bat
C:\ovjthbyh.bat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.09.2006, 09:20
...neu hier

Themenstarter

Beiträge: 6
#7 ja das mit dem fixme.reg hatte ich gemacht...

Den bericht von servicefilter.zip gibts heute nachmittag bin mit dem schulpc online ;)
Seitenanfang Seitenende
11.09.2006, 12:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 poste dann den bericht, es kann sein, dass sich ein Dienst erstellt hat... mal sehen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.09.2006, 16:29
...neu hier

Themenstarter

Beiträge: 6
#9 The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600
Sep 11, 2006 16:25:28


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1404
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: Echtzeit Virenschutz durch H+BEDV AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1440
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{9cbd0dd0-9455-42e3-93e8-5dabf3d06cf4}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 79 Win32 services on this machine.
3 were unrecognized.

Script Execution Time: 15,21094 seconds.
Seitenanfang Seitenende
11.09.2006, 17:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 gehe in die registry
Start - Ausfuehren - regedit
bearbeiten - suchen - desktop.exe
loesche, was du findest

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"desktop"="C:\\WINDOWS\\System32\\desktop.exe

-------------------------------------------------------

Avenger

Zitat

Files to delete:
C:\Programme\Windows Media Player\wmplayer.exe.tmp
C:\WINDOWS\system32\drivers\paemywvq.sys
C:\zip.exe
C:\avexport.bat
C:\ovjthbyh.bat
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.09.2006, 18:14
...neu hier

Themenstarter

Beiträge: 6
#11 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wrgcmrhx

*******************

Script file located at: \??\C:\WINDOWS\System32\pkmnbbab.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\paemywvq.sys deleted successfully.
File C:\zip.exe deleted successfully.
File C:\avexport.bat deleted successfully.
File C:\ovjthbyh.bat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hab gemerkt das du editiert hast:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vnogfxmp

*******************

Script file located at: \??\C:\pxpxovxn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\Windows Media Player\wmplayer.exe.tmp deleted successfully.


File C:\WINDOWS\system32\drivers\paemywvq.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\paemywvq.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\paemywvq.sys
Status: 0xc0000034

File C:\zip.exe deleted successfully.


File C:\avexport.bat not found!
Deletion of file C:\avexport.bat failed!

Could not process line:
C:\avexport.bat
Status: 0xc0000034



File C:\ovjthbyh.bat not found!
Deletion of file C:\ovjthbyh.bat failed!

Could not process line:
C:\ovjthbyh.bat
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.




Incident Status Location

Adware:adware/cws.yexe Not disinfected c:\windows\system32\Services
Adware:adware/ist.istbar Not disinfected c:\programme\gemeinsame dateien\Totem Shared
Adware:adware/cws Not disinfected Windows Registry
Adware:adware/cws.searchmeup Not disinfected Windows Registry
Adware:adware/startpage.ic Not disinfected Windows Registry
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Christoph\Cookies\christoph@atwola[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Christoph\Cookies\christoph@2o7[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Christoph\Cookies\christoph@adtech[2].txt
Spyware:Cookie/Doubleclick Not disinfected
Dieser Beitrag wurde am 11.09.2006 um 19:56 Uhr von ChristophR editiert.
Seitenanfang Seitenende
11.09.2006, 23:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Avenger

Zitat

Files to delete:
c:\windows\system32\Services

Folders to delete:
c:\programme\gemeinsame dateien\Totem Shared
poste den report vom avenger

**
CWShredder
http://virus-protect.org/antispytools.html
Während des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

* Doppelklick CWShredder.exe
* Klick "Fix ->" und klick "OK"
* CWShredder scannen lassen
* Click "Next->" und dann "Exit".
* Log-->"make Report"--> bitte posten

**
dann mache die Windowsupdates, ich verstehe nicht, wie du ohne im Net rumgondeln kannst ;)

Zitat

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).
2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.
**
poste noch mal die 4 logs von datfindbat (3 monate von jedem Log genuegen, die daten von 2001 interessieren nicht)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende