noch ein Virus-Burst-Geschädigter :(

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.09.2006, 11:37
Member

Beiträge: 15
#1 Hallo,
vermutlich hängt es euch schon zum Hals raus...auch ich hab mir Virus-Burst eingefangen.
Habe schon einige Ratschläge hier befolgt, komme dann aber nicht so recht weiter.
Avenger hab ich schonmal durchlaufen lassen, allerdings finde ich die Logfile davon nicht mehr, und wenn ich es jetzt starten will, kommt immer folgende Fehlermeldung:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!
-----------------------------------------------------------

Hier mal die Logfiles von HiJackThis, Regsearch, und irgendwas mit dem Editor...
Ich hoffe, das bringt was:

HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:42:21, on 11.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\iCodecPack\isamonitor.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iCodecPack\isamini.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\STEFAN\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.campus-braunschweig.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.tu-bs.de;*.tu-braunschweig.de;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\iCodecPack\isaddon.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB002" /M "Stylus CX6600"
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/haphazard/raptisoftgameloader.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/zenpuzzlegarden/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5245C85-AC99-4C6A-B8F4-2E90271FE2BD}: NameServer = 134.169.168.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

-----------------------------------------------------------------

RegSearch Logfile:
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.09.2006 11:13:19 for strings:
; 'virus-burst'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\0\win32]
@="C:\\Programme\\Virus-Burst\\Virus-Burst.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\HELPDIR]
@="C:\\Programme\\Virus-Burst\\"

[HKEY_USERS\S-1-5-21-3473767483-36861332-2653674218-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\STEFAN\\LOKALE~1\\Temp\\vb43.exe"="Virus-Burst Install"
"C:\\Programme\\Virus-Burst\\Virus-Burst.exe"="Anti- spyware and adware"
"C:\\Programme\\Virus-Burst\\uninst.exe"="Virus-Burst Install"
"C:\\DOKUME~1\\STEFAN\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="Virus-Burst Install"

; End Of The Log...

-----------------------------------------------------------

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Virus-Burst" >>files.txt
notepad files.txt
...hab ich auch gemacht:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A2-41F8

Verzeichnis von C:\Programme\Virus-Burst

10.09.2006 19:48 <DIR> .
10.09.2006 19:48 <DIR> ..
08.09.2006 01:12 1.507.328 Virus-Burst.exe
10.09.2006 19:49 356 virbur.ini
10.09.2006 19:49 0 ignored.lst
3 Datei(en) 1.507.684 Bytes
2 Verzeichnis(se), 8.465.874.944 Bytes frei

-----------------------------------------------------------------
Dieser Beitrag wurde am 11.09.2006 um 11:45 Uhr von olka editiert.
Seitenanfang Seitenende
11.09.2006, 14:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 olka

gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - oqabf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

loeschen:
{4d993022-0899-4599-b4b6-0f887d0802e6}

**
mediacodec.zip laden
http://virus-protect.org/zip/mediacodec.zip
entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}

Files to delete:
C:\WINDOWS\system32\oqabf.dll

Folders to delete:
C:\Programme\Virus-Burst
C:\Programme\iCodecPack
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\iCodecPack\isaddon.dll
O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll
PC neustarten

**
smitfraudfix anwenden
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.09.2006, 15:48
Member

Themenstarter

Beiträge: 15
#3 So, die 2 Sachen bei HijackThis hab ich "gefixt" und nach Neustart dann SmitFraudix angewendet wie auf der Seite beschrieben.
Hier die Logfile:

SmitFraudFix v2.87

Scan done at 15:23:55,03, 11.09.2006
Run from C:\Dokumente und Einstellungen\STEFAN\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

-------------------------------------------------------

Virus-Burst scheint auch weg zu sein, zumindest blinkt dieses nervige Ding nicht mehr in der Taskleiste rum...;)
Aber das mit avenger funktioniert immer noch nicht so recht.
Ich hab das hier reinkopiert, wie du gesagt hast:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}

Files to delete:
C:\WINDOWS\system32\oqabf.dll

Folders to delete:
C:\Programme\Virus-Burst
C:\Programme\iCodecPack
dann kommen aber folgende Pop-Ups (jeweils bei "OK"-klicken):


Wenn ich dann auf "Ja" klicke, wird zwar neu gestartet, aber ansonsten passiert nix.
Seitenanfang Seitenende
12.09.2006, 01:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 versuche es noch einige male,

du kannst auch den registryeintrag manuell aus der registry loeschen.
dann kopiere in den avenger:

Zitat

Files to delete:
C:\WINDOWS\system32\oqabf.dll

Folders to delete:
C:\Programme\Virus-Burst
C:\Programme\iCodecPack
ich denke jedoch, dass der Avenger bei neustart alles geloescht hat, nur, dass kein Backup in einer zip-Datei erstellt wurde.
schau mal, ob die 2 programme weg sind.......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.09.2006, 09:11
...neu hier

Beiträge: 3
#5 ich hab leider das selbe problem :-(

möchte aber nicht mein system neuinstallieren.

für hilfe bin ich total dankbar, wollte aber nicht extra ein neues thema deshalb eröffnen, ich hoffe das ist in ordnung.


hab mir combofix; avenger; mediacodec.reg; smitfraudfix; und hijackthis runtergeladen, es aber nach den anderen beschreibungen irgendwie nicht hinbekommen.
hier erstmal ein hijacklogfile nachdem ich mediacodec.reg angewand habe.


HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:06:13, on 12.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Ich\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AFC0A5D-98CB-4406-A90E-70B712441EB6}: NameServer = 213.168.112.60 194.8.194.60
O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
12.09.2006, 09:19
Member

Themenstarter

Beiträge: 15
#6 wow, danke für die rasanten Antworten immer Sabina, wirklich genial! ;)
Also, ich hab eben doch noch dieses zip-Backup gefunden und gelöscht.
Dann hab ichs nochmal mit dem Avenger versucht, und voila... plötzlich gings:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\daavxhdc

*******************

Script file located at: \??\C:\Program Files\nabjijlc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\oqabf.dll not found!
Deletion of file C:\WINDOWS\system32\oqabf.dll failed!

Could not process line:
C:\WINDOWS\system32\oqabf.dll
Status: 0xc0000034
----------------------------------------------------------

allerdings hab ich danach mittels manueller Suche noch diese 2 Kameraden in C:\Windows\Prefetch gefunden:
ICODECPACK.131.EXE-0F12BDA9.pf
VIRUS-BURST.EXE-0C261FE6.pf

Gehe ich recht in der Annahme, dass die auch noch wegmüssen?
Seitenanfang Seitenende
12.09.2006, 12:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Supay

1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - oqabf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

loeschen:
{4d993022-0899-4599-b4b6-0f887d0802e6}

3.
mediacodec.zip laden
http://virus-protect.org/zip/mediacodec.zip
entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

4.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}

Files to delete:
C:\WINDOWS\system32\oqabf.dll

Folders to delete:
C:\Programme\Virus-Burst
C:\Programme\iCodecPack
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

-----------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.09.2006, 12:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 olka

loesche alle Dateien in C:\Windows\Prefetch mit Cleanup oder manuell:
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.09.2006, 12:49
...neu hier

Beiträge: 3
#9 erstmal vielen, vielen dank für deine hilfe :-)
hab alle 4 punkte ausgeführt und dieses nervige blinken unten ist weg


1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html


Ich - 06-09-12 12:35:34.15
ComboFix 06.09.11B - Running from: C:\Dokumente und Einstellungen\Ich\Desktop

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-12 to 2006-09-12 ))))))))))))))))))))))))))))))))))


2006-09-12 08:25 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-09-12 08:25 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-09-12 08:25 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-09-12 08:25 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-09-12 00:56 176,128 --a------ C:\WINDOWS\system32\oqabf.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-12 12:02 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-12 08:31 -------- d-------- C:\Programme\EuroPoker
2006-09-12 00:22 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Skype
2006-09-10 14:29 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\uTorrent
2006-09-07 13:49 -------- d---s---- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Microsoft
2006-09-06 10:15 -------- d-------- C:\Programme\Java
2006-09-06 10:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-09-06 10:15 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-04 13:31 -------- d-------- C:\Programme\Masters Age Zone
2006-09-02 20:11 -------- d-------- C:\Programme\BSW
2006-08-26 18:13 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ppstream
2006-08-25 17:23 -------- d-------- C:\Programme\Gemeinsame Dateien\Synacast
2006-08-16 13:43 -------- d-------- C:\Programme\Messenger
2006-08-16 13:43 -------- d-------- C:\Programme\Internet Explorer
2006-08-16 13:42 -------- d-------- C:\Programme\Outlook Express
2006-08-16 13:42 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-14 00:29 -------- d-------- C:\Programme\uTorrent
2006-08-13 19:13 -------- d-------- C:\Programme\RESIDENT EVIL
2006-08-13 19:13 -------- d-------- C:\Programme\PartyGaming
2006-08-13 19:12 -------- d-------- C:\Programme\BearShare
2006-08-11 13:07 -------- d-------- C:\Programme\DivX
2006-08-10 14:04 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2006-08-10 12:04 96256 --a------ C:\WINDOWS\system32\drivers\sptd6205.sys
2006-08-10 10:17 -------- d-------- C:\Programme\Windows Media Player
2006-08-10 10:16 -------- d-------- C:\Programme\Movie Maker
2006-08-10 10:12 -------- d-------- C:\Programme\Windows NT
2006-08-10 10:12 -------- d-------- C:\Programme\NetMeeting
2006-08-06 13:56 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-08-06 13:56 -------- d-------- C:\Programme\Alcohol Soft
2006-08-06 13:54 643072 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-08-04 03:37 -------- d-------- C:\Programme\Gemeinsame Dateien\DirectX
2006-08-03 11:35 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-22 11:58 -------- d-------- C:\Programme\DVD2AVI_NIC
2006-07-22 11:56 -------- d-------- C:\Programme\XviD
2006-07-22 11:55 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Media Player Classic
2006-07-22 11:53 -------- d-------- C:\Programme\XP Codec Pack
2006-07-21 13:54 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-07-21 13:44 -------- d-------- C:\Programme\Elaborate Bytes
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-09 13:42 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-07-03 23:40 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-07-03 23:40 620180 --a------ C:\WINDOWS\system32\DivX.dll
2006-07-01 00:56 245408 --a------ C:\WINDOWS\system32\unicows.dll
2006-06-21 12:49 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2006-06-21 12:43 520192 --a------ C:\WINDOWS\system32\DivXsm.exe
2006-06-21 12:43 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-06-21 12:42 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-06-21 12:42 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-06-21 12:34 90112 --a------ C:\WINDOWS\system32\dpl100.dll
2006-06-21 12:34 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2006-06-21 12:34 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-06-21 12:34 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-06-21 12:34 200704 --a------ C:\WINDOWS\system32\dtu100.dll
2006-06-21 12:33 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2006-06-21 12:33 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2006-06-15 23:33 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"considerateness"="{4d993022-0899-4599-b4b6-0f887d0802e6}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 12.09.2006 12:36:08.56
ComboFix.txt
ComboFix2.txt



2.

erledigt

3.

erledigt

4.
Avenger
http://virus-protect.org/artikel/tools/avenger.html


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\elcldyap

*******************

Script file located at: \??\C:\WINDOWS\vdjdqqbi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\oqabf.dll deleted successfully.


Folder C:\Programme\Virus-Burst not found!
Deletion of folder C:\Programme\Virus-Burst failed!

Could not process line:
C:\Programme\Virus-Burst
Status: 0xc0000034



Folder C:\Programme\iCodecPack not found!
Deletion of folder C:\Programme\iCodecPack failed!

Could not process line:
C:\Programme\iCodecPack
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
12.09.2006, 13:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Supay

wie gesagt, dass muss aus der Registry geloescht werden:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"considerateness"="{4d993022-0899-4599-b4b6-0f887d0802e6}"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.09.2006, 13:33
...neu hier

Beiträge: 3
#11 ok, hab den wert rausgesucht und gelöscht
Seitenanfang Seitenende
12.09.2006, 14:38
Member

Themenstarter

Beiträge: 15
#12 wow, das CleanUp war wohl mal bitterst nötig - oder ist es normal, dass das ca 20000 Dateien löscht mit insgesamt über 450MB? O_O
Dabei hab ich erst vor wenigen Tagen TuneUp drüberlaufen lassen und dachte eigentlich, das wär recht sorgfältig...
Naja, jedenfalls scheint jetzt wirklich alles weg zu sein, was weg soll.
DANKE!!!
Nur noch 2 Fragen:
1) Kann ich die "mediacodec.reg"-Datei jetzt wieder löschen oder sollte ich die behalten?
2) Da sind 2 komische Dateien:
Zylot - S. Pulse Virus.milk
im Ordner C:\Programme\Winamp\Plugins\Milkdrop
und
Zamuz - Explosive Virus.avs
im Ordner C:\Programme\Winamp\Plugins\avs\Community Picks
Sollten die weg/sind die schlecht/brauch ich die?
Sorry, ich bin echt ein Idiot was Rechner angeht^^
Seitenanfang Seitenende
12.09.2006, 15:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

ich weiss nicht, ob die pfade korrekt sind:

C:\Programme\Winamp\Plugins\Milkdrop\Zylot - S. Pulse Virus.milk
C:\Programme\Winamp\Plugins\avs\Community Picks\Zamuz - Explosive Virus.avs

------------
mediacodec.reg kannst du loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.09.2006, 17:00
Member

Themenstarter

Beiträge: 15
#14 super, Danke Sabina!
Jetzt ist wohl fürs erste wieder alles im Lot ;)
Ich hoffe, ich muss dich nicht so bald wieder belästigen.

Nochmal Danke für die super Hilfe!!!

olka
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: