MSN-VIRUS!!! brauche detail-anleitung

#0
12.09.2006, 13:14
...neu hier

Beiträge: 4
#16 hi,
ich das gleiche problem. kann ich nach dem gleichen schema wie wuschuchopf vorgehen oder soll ich auch erst die logs posten? Kann ich in dem Thread bleiben, oder soll ich einen neuen erstellen?
mfg,
nachtwache
Seitenanfang Seitenende
12.09.2006, 13:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 nachtwache1

du kannst hier posten, ich brauche aber alle logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.09.2006, 14:34
...neu hier

Beiträge: 4
#18 Hijacklog:
Logfile of HijackThis v1.99.1
Scan saved at 14:12:21, on 12.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Nachtwache\Desktop\Neuer Ordner (2)\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://goggl.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A8716E7-576F-4C78-BBED-6CB00AF6454E}: NameServer = 217.237.151.33 217.237.149.225
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Combfix Log:
Nachtwache - 06-09-12 14:22:43.79
ComboFix 06.09.11B - Running from: C:\Dokumente und Einstellungen\Nachtwache\Desktop

Microsoft Windows XP [Version 5.1.2600]

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\taskmgr.com
C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031}


((((((((((((((((((((((((((((((( Files Created from 2006-08-12 to 2006-09-12 ))))))))))))))))))))))))))))))))))


2006-08-26 17:09 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2006-08-26 17:09 102,400 --a------ C:\WINDOWS\DIIUnin.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-12 14:23 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-12 14:17 -------- d-------- C:\Programme\CleanUp!
2006-09-12 10:54 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-09-11 21:09 -------- d-------- C:\Programme\MSN Messenger
2006-09-09 12:49 -------- d-------- C:\Programme\LingoPad
2006-09-09 12:49 -------- d-------- C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\Lingo4u
2006-09-06 14:42 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-09-01 13:14 -------- d-------- C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\Skype
2006-08-27 19:23 -------- d-------- C:\Programme\Tweak-XP Pro 4
2006-08-27 11:47 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-08-27 11:47 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-08-27 11:47 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2006-08-22 13:13 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-21 14:55 -------- d-------- C:\Programme\Starcraft
2006-08-18 16:23 30704 --a------ C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-14 16:25 -------- d-------- C:\Programme\Internet Explorer
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-18 19:26 -------- d-------- C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\ATI
2006-07-18 19:23 -------- d-------- C:\Programme\ATI Technologies
2006-07-12 09:37 -------- d-------- C:\Programme\Adobe
2006-07-07 15:58 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Works Update Detection"="C:\\Programme\\Microsoft Works\\WkDetect.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe /startup"
"AVGCtrl"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"D:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"explorer"="C:\\Dokumente und Einstellungen\\Nachtwache\\Xinstall.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Erinnerungen in Microsoft Works-Kalender.lnk"
"backup"="C:\\WINDOWS\\pss\\Erinnerungen in Microsoft Works-Kalender.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\MICROS~1\\WORKSS~1\\wkcalrem.exe "
"item"="Erinnerungen in Microsoft Works-Kalender"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hp psc 1000 series.lnk"
"backup"="C:\\WINDOWS\\pss\\hp psc 1000 series.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpohmr08.exe "
"item"="hp psc 1000 series"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe "
"item"="hpoddt01.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~4\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Nachtwache^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Nachtwache\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Nachtwache^Startmenü^Programme^Autostart^BitTorrent.lnk]
"path"="C:\\Dokumente und Einstellungen\\Nachtwache\\Startmenü\\Programme\\Autostart\\BitTorrent.lnk"
"backup"="C:\\WINDOWS\\pss\\BitTorrent.lnkStartup"
"location"="Startup"
"command"="D:\\PROGRA~1\\BITTOR~1\\BITTOR~1.EXE "
"item"="BitTorrent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\C-Media Mixer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Mixer"
"hkey"="HKLM"
"command"="Mixer.exe /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Client Server Runtime Process]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="csrs"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\csrs.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"E:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechSoftwareUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ManifestEngine"
"hkey"="HKCU"
"command"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LVCOMSX]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LVCOMSX"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Microsoft Works Portfolio]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WksSb"
"hkey"="HKLM"
"command"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkDetect"
"hkey"="HKCU"
"command"="C:\\Programme\\Microsoft Works\\WkDetect.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnh"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnh.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\New.net Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NEWDOT~2"
"hkey"="HKLM"
"command"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~2.DLL,ClientStartup -s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VVSN"
"hkey"="HKLM"
"command"="C:\\Programme\\VVSN\\VVSN.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WorksFUD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wkfud"
"hkey"="HKLM"
"command"="C:\\Programme\\Microsoft Works\\wkfud.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zone Labs Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zlclient"
"hkey"="HKLM"
"command"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services]
"cisvc"=dword:00000003
"Browser"=dword:00000002
"BITS"=dword:00000003
"ATI Smart"=dword:00000002
"Ati HotKey Poller"=dword:00000002
"AppMgmt"=dword:00000003
"ALG"=dword:00000003
"Alerter"=dword:00000003


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1143809730.job

Completion time: 12.09.2006 14:23:22.78
ComboFix.txt

diese datfind logs:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D89E-051D

Verzeichnis von C:\WINDOWS\system32

12.09.2006 14:22 2.206 wpa.dbl
06.09.2006 14:42 43.520 CmdLineExt03.dll
27.08.2006 11:47 21.840 SIntfNT.dll
27.08.2006 11:47 17.212 SIntf32.dll
27.08.2006 11:47 12.067 SIntf16.dll
07.08.2006 14:31 147.608 FNTCACHE.DAT
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
19.07.2006 02:32 401.064 perfh009.dat
19.07.2006 02:32 62.344 perfc009.dat
19.07.2006 02:32 415.470 perfh007.dat
19.07.2006 02:32 74.996 perfc007.dat
19.07.2006 02:32 926.958 PerfStringBackup.INI
18.07.2006 19:35 664 d3d9caps.dat
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
07.07.2006 15:58 98.304 CmdLineExt.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 10:53 27.136 xpsp3res.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
10.06.2006 19:49 57.384 avsda.dll
07.06.2006 23:09 260.096 ati2dvag.dll
07.06.2006 23:07 307.200 atiiiexx.dll
07.06.2006 23:04 114.688 atipdlxx.dll
07.06.2006 23:04 77.824 Oemdspif.dll
07.06.2006 23:04 26.112 Ati2mdxx.exe
07.06.2006 23:04 41.984 ati2edxx.dll
07.06.2006 23:04 61.440 ati2evxx.dll
07.06.2006 23:03 409.600 ati2evxx.exe
07.06.2006 23:02 53.248 ATIDDC.DLL
07.06.2006 22:56 2.754.784 ati3duag.dll
07.06.2006 22:51 1.751.488 ativvaxx.dll
07.06.2006 22:46 6.684.672 atioglx1.dll
07.06.2006 22:43 5.050.368 atioglxx.dll
07.06.2006 22:40 204.800 atikvmag.dll
07.06.2006 22:39 17.408 atitvo32.dll
07.06.2006 22:38 290.816 ATIDEMGR.dll
07.06.2006 22:35 286.720 ati2cqag.dll
07.06.2006 16:27 520.192 ati2sgag.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 19:28 129.112 atiicdxx.dat
01.06.2006 03:34 6.126 atifglpf.xml

Verzeichnis von C:\DOKUME~1\NACHTW~1\LOKALE~1\Temp

12.09.2006 14:22 16.384 Perflib_Perfdata_528.dat
12.09.2006 14:22 16.384 Perflib_Perfdata_6dc.dat
12.09.2006 14:22 16.384 Perflib_Perfdata_b9c.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 29.031.952.384 Bytes frei

Verzeichnis von C:\WINDOWS

12.09.2006 14:17 0 0.log
12.09.2006 14:17 77.852 WindowsUpdate.log
12.09.2006 14:17 159 wiadebug.log
12.09.2006 14:17 50 wiaservc.log
12.09.2006 14:16 2.048 bootstat.dat
12.09.2006 14:15 1.534 SchedLgU.Txt
11.09.2006 23:28 0 Sti_Trace.log
11.09.2006 23:09 127.208 ntbtlog.txt
11.09.2006 23:08 227 system.ini
11.09.2006 23:08 803 win.ini
10.09.2006 01:06 3.882 ModemLog_V9X HAM 1394V.txt
26.08.2006 17:25 32.624 DIIUnin.dat
26.08.2006 17:09 2.829 DIIUnin.pif
26.08.2006 17:09 102.400 DIIUnin.exe
09.08.2006 19:29 103 ChssBase.ini
29.07.2006 12:54 82.667 War3Unin.dat
22.06.2006 23:51 316.640 WMSysPr9.prx


Verzeichnis von C:\

12.09.2006 14:29 0 sys.txt
12.09.2006 14:28 5.091 system.txt
12.09.2006 14:27 432 systemtemp.txt
12.09.2006 14:25 97.958 system32.txt
12.09.2006 14:23 17.013 ComboFix.txt
12.09.2006 14:16 805.306.368 pagefile.sys
12.09.2006 10:36 517 hpfr3420.xml
12.09.2006 10:36 21.051 hpfr3425.log
11.09.2006 23:08 211 boot.ini

So also das du aus so etwas schlau wirst... respekt!
mfg
Nachtwache
Seitenanfang Seitenende
12.09.2006, 14:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 nachtwache1

im Grunde empfehle ich dir, zu formatieren, siehe:
Worm/IRCBot.FU - Worm
http://www.avira.com/de/Thread/section/fulldetails/id_vir/1204/worm_ircbot.fu.html

---------------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\New.net Startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Client Server Runtime Process
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN

Files to delete:
C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe
C:\Dokumente und Einstellungen\Nachtwache\Desktop\Xinstall.exe
C:\WINDOWS\Downloaded Program Files\speedtest2.dll
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\aspr_keys.ini

Folders to delete:
C:\Programme\VVSN
C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html

----------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.09.2006, 16:37
...neu hier

Beiträge: 4
#20 Hier die Log von avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ycnqfegm

*******************

Script file located at: \??\C:\Program Files\arecbwfh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Nachtwache\Desktop\Xinstall.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Nachtwache\Desktop\Xinstall.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Nachtwache\Desktop\Xinstall.exe
Status: 0xc0000034

File C:\WINDOWS\Downloaded Program Files\speedtest2.dll deleted successfully.


File C:\WINDOWS\System32\csrs.exe not found!
Deletion of file C:\WINDOWS\System32\csrs.exe failed!

Could not process line:
C:\WINDOWS\System32\csrs.exe
Status: 0xc0000034



File C:\WINDOWS\System32\aspr_keys.ini not found!
Deletion of file C:\WINDOWS\System32\aspr_keys.ini failed!

Could not process line:
C:\WINDOWS\System32\aspr_keys.ini
Status: 0xc0000034



Folder C:\Programme\VVSN not found!
Deletion of folder C:\Programme\VVSN failed!

Could not process line:
C:\Programme\VVSN
Status: 0xc0000034



Folder C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031}
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\New.net Startup deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Client Server Runtime Process deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und die Log von ewido:
---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 16:36:14 12.09.2006

+ Scan-Ergebnis:



C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Keine Aktion durchgeführt.
C:\WINDOWS\NDNuninstall7_14.exe -> Adware.NewDotNet : Keine Aktion durchgeführt.
C:\WINDOWS\NDNuninstall7_22.exe -> Adware.NewDotNet : Keine Aktion durchgeführt.
C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : Keine Aktion durchgeführt.
C:\avenger\backup.zip/avenger/speedtest2.dll -> Not-A-Virus.Downloader.Win32.InsTool.a : Keine Aktion durchgeführt.

Ich mach das jetzt mit dem fixen mal eben.
mfg,
Nachtwache
Seitenanfang Seitenende
13.09.2006, 00:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 mit dem ewido kann man loeschen.... Keine Aktion durchgeführt ???

loesche manuell: C:\avenger\backup.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.09.2006, 02:09
...neu hier

Beiträge: 4
#22 Doch doch, hab die 4Viren die mir ewido zeigte gelöscht. diese backup.zip auch manuell entfernt. es geht zur zeit alles wieder wie vor dem virus.
vielen danke.
nachtwache
Seitenanfang Seitenende