MSN-VIRUS!!! brauche detail-anleitung |
||
|---|---|---|
| #0
| ||
|
12.09.2006, 13:14
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
12.09.2006, 13:27
Ehrenmitglied
 Beiträge: 29434 |
#17
nachtwache1
du kannst hier posten, ich brauche aber alle logs http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.09.2006, 14:34
...neu hier
Beiträge: 4 |
#18
Hijacklog:
Logfile of HijackThis v1.99.1 Scan saved at 14:12:21, on 12.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Mixer.exe D:\Programme\D-Tools\daemon.exe C:\Programme\Winamp\winampa.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Dokumente und Einstellungen\Nachtwache\Desktop\Neuer Ordner (2)\virentools\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://goggl.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{7A8716E7-576F-4C78-BBED-6CB00AF6454E}: NameServer = 217.237.151.33 217.237.149.225 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe Combfix Log: Nachtwache - 06-09-12 14:22:43.79 ComboFix 06.09.11B - Running from: C:\Dokumente und Einstellungen\Nachtwache\Desktop Microsoft Windows XP [Version 5.1.2600] (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\taskmgr.com C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031} ((((((((((((((((((((((((((((((( Files Created from 2006-08-12 to 2006-09-12 )))))))))))))))))))))))))))))))))) 2006-08-26 17:09 2,829 --a------ C:\WINDOWS\DIIUnin.pif 2006-08-26 17:09 102,400 --a------ C:\WINDOWS\DIIUnin.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-12 14:23 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-12 14:17 -------- d-------- C:\Programme\CleanUp! 2006-09-12 10:54 -------- d-------- C:\Programme\Mozilla Thunderbird 2006-09-11 21:09 -------- d-------- C:\Programme\MSN Messenger 2006-09-09 12:49 -------- d-------- C:\Programme\LingoPad 2006-09-09 12:49 -------- d-------- C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\Lingo4u 2006-09-06 14:42 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2006-09-01 13:14 -------- d-------- C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\Skype 2006-08-27 19:23 -------- d-------- C:\Programme\Tweak-XP Pro 4 2006-08-27 11:47 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll 2006-08-27 11:47 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll 2006-08-27 11:47 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll 2006-08-22 13:13 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-08-21 14:55 -------- d-------- C:\Programme\Starcraft 2006-08-18 16:23 30704 --a------ C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-08-14 16:25 -------- d-------- C:\Programme\Internet Explorer 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-18 19:26 -------- d-------- C:\Dokumente und Einstellungen\Nachtwache\Anwendungsdaten\ATI 2006-07-18 19:23 -------- d-------- C:\Programme\ATI Technologies 2006-07-12 09:37 -------- d-------- C:\Programme\Adobe 2006-07-07 15:58 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft Works Update Detection"="C:\\Programme\\Microsoft Works\\WkDetect.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "C-Media Mixer"="Mixer.exe /startup" "AVGCtrl"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "DAEMON Tools-1033"="\"D:\\Programme\\D-Tools\\daemon.exe\" -lang 1033" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay" "explorer"="C:\\Dokumente und Einstellungen\\Nachtwache\\Xinstall.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a4,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE " "item"="Adobe Reader - Schnellstart" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Erinnerungen in Microsoft Works-Kalender.lnk" "backup"="C:\\WINDOWS\\pss\\Erinnerungen in Microsoft Works-Kalender.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\GEMEIN~1\\MICROS~1\\WORKSS~1\\wkcalrem.exe " "item"="Erinnerungen in Microsoft Works-Kalender" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hp psc 1000 series.lnk" "backup"="C:\\WINDOWS\\pss\\hp psc 1000 series.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpohmr08.exe " "item"="hp psc 1000 series" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk" "backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe " "item"="hpoddt01.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MICROS~4\\Office10\\OSA.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Nachtwache^Startmenü^Programme^Autostart^Adobe Gamma.lnk] "path"="C:\\Dokumente und Einstellungen\\Nachtwache\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup" "location"="Startup" "command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE " "item"="Adobe Gamma" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Nachtwache^Startmenü^Programme^Autostart^BitTorrent.lnk] "path"="C:\\Dokumente und Einstellungen\\Nachtwache\\Startmenü\\Programme\\Autostart\\BitTorrent.lnk" "backup"="C:\\WINDOWS\\pss\\BitTorrent.lnkStartup" "location"="Startup" "command"="D:\\PROGRA~1\\BITTOR~1\\BITTOR~1.EXE " "item"="BitTorrent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Adobe Photo Downloader] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="apdproxy" "hkey"="HKLM" "command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATICCC] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="cli" "hkey"="HKLM" "command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATIPTA] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="atiptaxx" "hkey"="HKLM" "command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\C-Media Mixer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Mixer" "hkey"="HKLM" "command"="Mixer.exe /startup" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Client Server Runtime Process] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="csrs" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\csrs.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTFMON.EXE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ctfmon" "hkey"="HKCU" "command"="C:\\WINDOWS\\System32\\ctfmon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ICQLite" "hkey"="HKLM" "command"="\"E:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KernelFaultCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dumprep 0 -k" "hkey"="HKLM" "command"="%systemroot%\\system32\\dumprep 0 -k" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechSoftwareUpdate] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ManifestEngine" "hkey"="HKCU" "command"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoRepair] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ISStart" "hkey"="HKLM" "command"="C:\\Programme\\Logitech\\Video\\ISStart.exe " "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LogiTray" "hkey"="HKLM" "command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LVCOMSX] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LVCOMSX" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\LVCOMSX.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Microsoft Works Portfolio] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="WksSb" "hkey"="HKLM" "command"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Microsoft Works Update Detection] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="WkDetect" "hkey"="HKCU" "command"="C:\\Programme\\Microsoft Works\\WkDetect.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msnh" "hkey"="HKCU" "command"="\"C:\\Programme\\MSN Messenger\\msnh.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\New.net Startup] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NEWDOT~2" "hkey"="HKLM" "command"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~2.DLL,ClientStartup -s" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpybotSD TeaTimer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TeaTimer" "hkey"="HKCU" "command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKCU" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\updateMgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AdobeUpdateManager" "hkey"="HKCU" "command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="VVSN" "hkey"="HKLM" "command"="C:\\Programme\\VVSN\\VVSN.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winampa" "hkey"="HKLM" "command"="C:\\Programme\\Winamp\\winampa.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WorksFUD] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="wkfud" "hkey"="HKLM" "command"="C:\\Programme\\Microsoft Works\\wkfud.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zone Labs Client] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="zlclient" "hkey"="HKLM" "command"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services] "cisvc"=dword:00000003 "Browser"=dword:00000002 "BITS"=dword:00000003 "ATI Smart"=dword:00000002 "Ati HotKey Poller"=dword:00000002 "AppMgmt"=dword:00000003 "ALG"=dword:00000003 "Alerter"=dword:00000003 HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1143809730.job Completion time: 12.09.2006 14:23:22.78 ComboFix.txt diese datfind logs: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D89E-051D Verzeichnis von C:\WINDOWS\system32 12.09.2006 14:22 2.206 wpa.dbl 06.09.2006 14:42 43.520 CmdLineExt03.dll 27.08.2006 11:47 21.840 SIntfNT.dll 27.08.2006 11:47 17.212 SIntf32.dll 27.08.2006 11:47 12.067 SIntf16.dll 07.08.2006 14:31 147.608 FNTCACHE.DAT 03.08.2006 03:22 8.255.912 MRT.exe 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 19.07.2006 02:32 401.064 perfh009.dat 19.07.2006 02:32 62.344 perfc009.dat 19.07.2006 02:32 415.470 perfh007.dat 19.07.2006 02:32 74.996 perfc007.dat 19.07.2006 02:32 926.958 PerfStringBackup.INI 18.07.2006 19:35 664 d3d9caps.dat 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 07.07.2006 15:58 98.304 CmdLineExt.dll 05.07.2006 12:55 1.057.792 kernel32.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 23.06.2006 13:10 664.576 wininet.dll 23.06.2006 13:10 39.424 pngfilt.dll 23.06.2006 13:10 448.512 mshtmled.dll 23.06.2006 13:10 146.432 msrating.dll 23.06.2006 13:10 474.624 shlwapi.dll 23.06.2006 13:10 1.494.016 shdocvw.dll 23.06.2006 13:10 532.480 mstime.dll 23.06.2006 13:10 16.384 jsproxy.dll 23.06.2006 13:10 1.056.256 danim.dll 23.06.2006 13:10 251.392 iepeers.dll 23.06.2006 13:10 205.312 dxtrans.dll 23.06.2006 13:10 55.808 extmgr.dll 23.06.2006 13:10 357.888 dxtmsft.dll 23.06.2006 13:10 152.064 cdfview.dll 23.06.2006 13:10 1.022.976 browseui.dll 23.06.2006 13:10 96.768 inseng.dll 23.06.2006 10:53 27.136 xpsp3res.dll 19.06.2006 16:20 702.768 WgaLogon.dll 19.06.2006 16:19 571.184 LegitCheckControl.dll 19.06.2006 16:19 304.944 WgaTray.exe 10.06.2006 19:49 57.384 avsda.dll 07.06.2006 23:09 260.096 ati2dvag.dll 07.06.2006 23:07 307.200 atiiiexx.dll 07.06.2006 23:04 114.688 atipdlxx.dll 07.06.2006 23:04 77.824 Oemdspif.dll 07.06.2006 23:04 26.112 Ati2mdxx.exe 07.06.2006 23:04 41.984 ati2edxx.dll 07.06.2006 23:04 61.440 ati2evxx.dll 07.06.2006 23:03 409.600 ati2evxx.exe 07.06.2006 23:02 53.248 ATIDDC.DLL 07.06.2006 22:56 2.754.784 ati3duag.dll 07.06.2006 22:51 1.751.488 ativvaxx.dll 07.06.2006 22:46 6.684.672 atioglx1.dll 07.06.2006 22:43 5.050.368 atioglxx.dll 07.06.2006 22:40 204.800 atikvmag.dll 07.06.2006 22:39 17.408 atitvo32.dll 07.06.2006 22:38 290.816 ATIDEMGR.dll 07.06.2006 22:35 286.720 ati2cqag.dll 07.06.2006 16:27 520.192 ati2sgag.exe 01.06.2006 20:47 163.840 jgdw400.dll 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 19:28 129.112 atiicdxx.dat 01.06.2006 03:34 6.126 atifglpf.xml Verzeichnis von C:\DOKUME~1\NACHTW~1\LOKALE~1\Temp 12.09.2006 14:22 16.384 Perflib_Perfdata_528.dat 12.09.2006 14:22 16.384 Perflib_Perfdata_6dc.dat 12.09.2006 14:22 16.384 Perflib_Perfdata_b9c.dat 3 Datei(en) 49.152 Bytes 0 Verzeichnis(se), 29.031.952.384 Bytes frei Verzeichnis von C:\WINDOWS 12.09.2006 14:17 0 0.log 12.09.2006 14:17 77.852 WindowsUpdate.log 12.09.2006 14:17 159 wiadebug.log 12.09.2006 14:17 50 wiaservc.log 12.09.2006 14:16 2.048 bootstat.dat 12.09.2006 14:15 1.534 SchedLgU.Txt 11.09.2006 23:28 0 Sti_Trace.log 11.09.2006 23:09 127.208 ntbtlog.txt 11.09.2006 23:08 227 system.ini 11.09.2006 23:08 803 win.ini 10.09.2006 01:06 3.882 ModemLog_V9X HAM 1394V.txt 26.08.2006 17:25 32.624 DIIUnin.dat 26.08.2006 17:09 2.829 DIIUnin.pif 26.08.2006 17:09 102.400 DIIUnin.exe 09.08.2006 19:29 103 ChssBase.ini 29.07.2006 12:54 82.667 War3Unin.dat 22.06.2006 23:51 316.640 WMSysPr9.prx Verzeichnis von C:\ 12.09.2006 14:29 0 sys.txt 12.09.2006 14:28 5.091 system.txt 12.09.2006 14:27 432 systemtemp.txt 12.09.2006 14:25 97.958 system32.txt 12.09.2006 14:23 17.013 ComboFix.txt 12.09.2006 14:16 805.306.368 pagefile.sys 12.09.2006 10:36 517 hpfr3420.xml 12.09.2006 10:36 21.051 hpfr3425.log 11.09.2006 23:08 211 boot.ini So also das du aus so etwas schlau wirst... respekt! mfg Nachtwache |
|
|
|
|
|
|
12.09.2006, 14:46
Ehrenmitglied
Beiträge: 29434 |
#19
nachtwache1
im Grunde empfehle ich dir, zu formatieren, siehe: Worm/IRCBot.FU - Worm http://www.avira.com/de/Thread/section/fulldetails/id_vir/1204/worm_ircbot.fu.html --------------------------------------------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint ** Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k ** scanne und poste den scanreport http://virus-protect.org/ewido.html ---------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.09.2006, 16:37
...neu hier
Beiträge: 4 |
#20
Hier die Log von avenger
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ycnqfegm ******************* Script file located at: \??\C:\Program Files\arecbwfh.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe not found! Deletion of file C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe failed! Could not process line: C:\Dokumente und Einstellungen\Nachtwache\Xinstall.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Nachtwache\Desktop\Xinstall.exe not found! Deletion of file C:\Dokumente und Einstellungen\Nachtwache\Desktop\Xinstall.exe failed! Could not process line: C:\Dokumente und Einstellungen\Nachtwache\Desktop\Xinstall.exe Status: 0xc0000034 File C:\WINDOWS\Downloaded Program Files\speedtest2.dll deleted successfully. File C:\WINDOWS\System32\csrs.exe not found! Deletion of file C:\WINDOWS\System32\csrs.exe failed! Could not process line: C:\WINDOWS\System32\csrs.exe Status: 0xc0000034 File C:\WINDOWS\System32\aspr_keys.ini not found! Deletion of file C:\WINDOWS\System32\aspr_keys.ini failed! Could not process line: C:\WINDOWS\System32\aspr_keys.ini Status: 0xc0000034 Folder C:\Programme\VVSN not found! Deletion of folder C:\Programme\VVSN failed! Could not process line: C:\Programme\VVSN Status: 0xc0000034 Folder C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031} not found! Deletion of folder C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031} failed! Could not process line: C:\Programme\Gemeinsame Dateien\{D89E051D-07C8-1031-0221-020311180031} Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\New.net Startup deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Client Server Runtime Process deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\VVSN deleted successfully. Completed script processing. ******************* Finished! Terminate. Und die Log von ewido: --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 16:36:14 12.09.2006 + Scan-Ergebnis: C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Keine Aktion durchgeführt. C:\WINDOWS\NDNuninstall7_14.exe -> Adware.NewDotNet : Keine Aktion durchgeführt. C:\WINDOWS\NDNuninstall7_22.exe -> Adware.NewDotNet : Keine Aktion durchgeführt. C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : Keine Aktion durchgeführt. C:\avenger\backup.zip/avenger/speedtest2.dll -> Not-A-Virus.Downloader.Win32.InsTool.a : Keine Aktion durchgeführt. Ich mach das jetzt mit dem fixen mal eben. mfg, Nachtwache |
|
|
|
|
|
|
13.09.2006, 00:36
Ehrenmitglied
Beiträge: 29434 |
#21
mit dem ewido kann man loeschen.... Keine Aktion durchgeführt ???
loesche manuell: C:\avenger\backup.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.09.2006, 02:09
...neu hier
Beiträge: 4 |
#22
Doch doch, hab die 4Viren die mir ewido zeigte gelöscht. diese backup.zip auch manuell entfernt. es geht zur zeit alles wieder wie vor dem virus.
vielen danke. nachtwache |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- » Bitte um Anleitung bei diesem Virus....
- » Anleitung: Anleitung Beseitigung von: VIRUS ALERT!
- » Brauche dringen eine Anleitung bei der Beseitigung von Virus Burst!!!
- » !spyaxe... anleitung von http://virus-protect gefolgt! jetzt alles weg?
- » Virus Buster: Mit Anleitung "entfernt", Rechner aber jetzt eine Schnecke
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich das gleiche problem. kann ich nach dem gleichen schema wie wuschuchopf vorgehen oder soll ich auch erst die logs posten? Kann ich in dem Thread bleiben, oder soll ich einen neuen erstellen?
mfg,
nachtwache