noch ein Virus-Burst-Geschädigter :(Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.09.2006, 11:37
Member
Beiträge: 15 |
||
|
||
11.09.2006, 14:25
Ehrenmitglied
Beiträge: 29434 |
#2
olka
gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - oqabf.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] loeschen: {4d993022-0899-4599-b4b6-0f887d0802e6} ** mediacodec.zip laden http://virus-protect.org/zip/mediacodec.zip entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\iCodecPack\isaddon.dllPC neustarten ** smitfraudfix anwenden http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.09.2006, 15:48
Member
Themenstarter Beiträge: 15 |
#3
So, die 2 Sachen bei HijackThis hab ich "gefixt" und nach Neustart dann SmitFraudix angewendet wie auf der Seite beschrieben.
Hier die Logfile: SmitFraudFix v2.87 Scan done at 15:23:55,03, 11.09.2006 Run from C:\Dokumente und Einstellungen\STEFAN\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ------------------------------------------------------- Virus-Burst scheint auch weg zu sein, zumindest blinkt dieses nervige Ding nicht mehr in der Taskleiste rum... Aber das mit avenger funktioniert immer noch nicht so recht. Ich hab das hier reinkopiert, wie du gesagt hast: Zitat registry keys to delete:dann kommen aber folgende Pop-Ups (jeweils bei "OK"-klicken): Wenn ich dann auf "Ja" klicke, wird zwar neu gestartet, aber ansonsten passiert nix. |
|
|
||
12.09.2006, 01:17
Ehrenmitglied
Beiträge: 29434 |
#4
versuche es noch einige male,
du kannst auch den registryeintrag manuell aus der registry loeschen. dann kopiere in den avenger: Zitat Files to delete:ich denke jedoch, dass der Avenger bei neustart alles geloescht hat, nur, dass kein Backup in einer zip-Datei erstellt wurde. schau mal, ob die 2 programme weg sind....... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.09.2006, 09:11
...neu hier
Beiträge: 3 |
#5
ich hab leider das selbe problem :-(
möchte aber nicht mein system neuinstallieren. für hilfe bin ich total dankbar, wollte aber nicht extra ein neues thema deshalb eröffnen, ich hoffe das ist in ordnung. hab mir combofix; avenger; mediacodec.reg; smitfraudfix; und hijackthis runtergeladen, es aber nach den anderen beschreibungen irgendwie nicht hinbekommen. hier erstmal ein hijacklogfile nachdem ich mediacodec.reg angewand habe. HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 09:06:13, on 12.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\regedit.exe C:\Dokumente und Einstellungen\Ich\Desktop\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7AFC0A5D-98CB-4406-A90E-70B712441EB6}: NameServer = 213.168.112.60 194.8.194.60 O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
12.09.2006, 09:19
Member
Themenstarter Beiträge: 15 |
#6
wow, danke für die rasanten Antworten immer Sabina, wirklich genial!
Also, ich hab eben doch noch dieses zip-Backup gefunden und gelöscht. Dann hab ichs nochmal mit dem Avenger versucht, und voila... plötzlich gings: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\daavxhdc ******************* Script file located at: \??\C:\Program Files\nabjijlc.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\oqabf.dll not found! Deletion of file C:\WINDOWS\system32\oqabf.dll failed! Could not process line: C:\WINDOWS\system32\oqabf.dll Status: 0xc0000034 ---------------------------------------------------------- allerdings hab ich danach mittels manueller Suche noch diese 2 Kameraden in C:\Windows\Prefetch gefunden: ICODECPACK.131.EXE-0F12BDA9.pf VIRUS-BURST.EXE-0C261FE6.pf Gehe ich recht in der Annahme, dass die auch noch wegmüssen? |
|
|
||
12.09.2006, 12:29
Ehrenmitglied
Beiträge: 29434 |
#7
Supay
1. poste das log http://virus-protect.org/artikel/tools/combofix.html 2. gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - oqabf.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] loeschen: {4d993022-0899-4599-b4b6-0f887d0802e6} 3. mediacodec.zip laden http://virus-protect.org/zip/mediacodec.zip entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 4. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ----------------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.09.2006, 12:33
Ehrenmitglied
Beiträge: 29434 |
#8
olka
loesche alle Dateien in C:\Windows\Prefetch mit Cleanup oder manuell: http://virus-protect.org/cleanup.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.09.2006, 12:49
...neu hier
Beiträge: 3 |
#9
erstmal vielen, vielen dank für deine hilfe :-)
hab alle 4 punkte ausgeführt und dieses nervige blinken unten ist weg 1. poste das log http://virus-protect.org/artikel/tools/combofix.html Ich - 06-09-12 12:35:34.15 ComboFix 06.09.11B - Running from: C:\Dokumente und Einstellungen\Ich\Desktop Microsoft Windows XP [Version 5.1.2600] ((((((((((((((((((((((((((((((( Files Created from 2006-08-12 to 2006-09-12 )))))))))))))))))))))))))))))))))) 2006-09-12 08:25 53,248 --a------ C:\WINDOWS\system32\Process.exe 2006-09-12 08:25 40,960 --a------ C:\WINDOWS\system32\swsc.exe 2006-09-12 08:25 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2006-09-12 08:25 135,168 --a------ C:\WINDOWS\system32\swreg.exe 2006-09-12 00:56 176,128 --a------ C:\WINDOWS\system32\oqabf.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-12 12:02 -------- d-------- C:\Programme\Mozilla Firefox 2006-09-12 08:31 -------- d-------- C:\Programme\EuroPoker 2006-09-12 00:22 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Skype 2006-09-10 14:29 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\uTorrent 2006-09-07 13:49 -------- d---s---- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Microsoft 2006-09-06 10:15 -------- d-------- C:\Programme\Java 2006-09-06 10:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Java 2006-09-06 10:15 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-04 13:31 -------- d-------- C:\Programme\Masters Age Zone 2006-09-02 20:11 -------- d-------- C:\Programme\BSW 2006-08-26 18:13 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ppstream 2006-08-25 17:23 -------- d-------- C:\Programme\Gemeinsame Dateien\Synacast 2006-08-16 13:43 -------- d-------- C:\Programme\Messenger 2006-08-16 13:43 -------- d-------- C:\Programme\Internet Explorer 2006-08-16 13:42 -------- d-------- C:\Programme\Outlook Express 2006-08-16 13:42 -------- d-------- C:\Programme\Gemeinsame Dateien\System 2006-08-14 00:29 -------- d-------- C:\Programme\uTorrent 2006-08-13 19:13 -------- d-------- C:\Programme\RESIDENT EVIL 2006-08-13 19:13 -------- d-------- C:\Programme\PartyGaming 2006-08-13 19:12 -------- d-------- C:\Programme\BearShare 2006-08-11 13:07 -------- d-------- C:\Programme\DivX 2006-08-10 14:04 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys 2006-08-10 12:04 96256 --a------ C:\WINDOWS\system32\drivers\sptd6205.sys 2006-08-10 10:17 -------- d-------- C:\Programme\Windows Media Player 2006-08-10 10:16 -------- d-------- C:\Programme\Movie Maker 2006-08-10 10:12 -------- d-------- C:\Programme\Windows NT 2006-08-10 10:12 -------- d-------- C:\Programme\NetMeeting 2006-08-06 13:56 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys 2006-08-06 13:56 -------- d-------- C:\Programme\Alcohol Soft 2006-08-06 13:54 643072 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2006-08-04 03:37 -------- d-------- C:\Programme\Gemeinsame Dateien\DirectX 2006-08-03 11:35 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-22 11:58 -------- d-------- C:\Programme\DVD2AVI_NIC 2006-07-22 11:56 -------- d-------- C:\Programme\XviD 2006-07-22 11:55 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Media Player Classic 2006-07-22 11:53 -------- d-------- C:\Programme\XP Codec Pack 2006-07-21 13:54 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2006-07-21 13:44 -------- d-------- C:\Programme\Elaborate Bytes 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-09 13:42 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll 2006-07-03 23:40 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll 2006-07-03 23:40 620180 --a------ C:\WINDOWS\system32\DivX.dll 2006-07-01 00:56 245408 --a------ C:\WINDOWS\system32\unicows.dll 2006-06-21 12:49 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll 2006-06-21 12:43 520192 --a------ C:\WINDOWS\system32\DivXsm.exe 2006-06-21 12:43 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2006-06-21 12:42 200704 --a------ C:\WINDOWS\system32\ssldivx.dll 2006-06-21 12:42 1044480 --a------ C:\WINDOWS\system32\libdivx.dll 2006-06-21 12:34 90112 --a------ C:\WINDOWS\system32\dpl100.dll 2006-06-21 12:34 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll 2006-06-21 12:34 57344 --a------ C:\WINDOWS\system32\dpv11.dll 2006-06-21 12:34 344064 --a------ C:\WINDOWS\system32\dpus11.dll 2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu11.dll 2006-06-21 12:34 294912 --a------ C:\WINDOWS\system32\dpu10.dll 2006-06-21 12:34 200704 --a------ C:\WINDOWS\system32\dtu100.dll 2006-06-21 12:33 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2006-06-21 12:33 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe 2006-06-15 23:33 57384 --a------ C:\WINDOWS\system32\avsda.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "ClearRecentDocsOnExit"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "considerateness"="{4d993022-0899-4599-b4b6-0f887d0802e6}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Completion time: 12.09.2006 12:36:08.56 ComboFix.txt ComboFix2.txt 2. erledigt 3. erledigt 4. Avenger http://virus-protect.org/artikel/tools/avenger.html Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\elcldyap ******************* Script file located at: \??\C:\WINDOWS\vdjdqqbi.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\oqabf.dll deleted successfully. Folder C:\Programme\Virus-Burst not found! Deletion of folder C:\Programme\Virus-Burst failed! Could not process line: C:\Programme\Virus-Burst Status: 0xc0000034 Folder C:\Programme\iCodecPack not found! Deletion of folder C:\Programme\iCodecPack failed! Could not process line: C:\Programme\iCodecPack Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7} failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
|
|
||
12.09.2006, 13:22
Ehrenmitglied
Beiträge: 29434 |
#10
Supay
wie gesagt, dass muss aus der Registry geloescht werden: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "considerateness"="{4d993022-0899-4599-b4b6-0f887d0802e6}" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.09.2006, 13:33
...neu hier
Beiträge: 3 |
#11
ok, hab den wert rausgesucht und gelöscht
|
|
|
||
12.09.2006, 14:38
Member
Themenstarter Beiträge: 15 |
#12
wow, das CleanUp war wohl mal bitterst nötig - oder ist es normal, dass das ca 20000 Dateien löscht mit insgesamt über 450MB? O_O
Dabei hab ich erst vor wenigen Tagen TuneUp drüberlaufen lassen und dachte eigentlich, das wär recht sorgfältig... Naja, jedenfalls scheint jetzt wirklich alles weg zu sein, was weg soll. DANKE!!! Nur noch 2 Fragen: 1) Kann ich die "mediacodec.reg"-Datei jetzt wieder löschen oder sollte ich die behalten? 2) Da sind 2 komische Dateien: Zylot - S. Pulse Virus.milk im Ordner C:\Programme\Winamp\Plugins\Milkdrop und Zamuz - Explosive Virus.avs im Ordner C:\Programme\Winamp\Plugins\avs\Community Picks Sollten die weg/sind die schlecht/brauch ich die? Sorry, ich bin echt ein Idiot was Rechner angeht^^ |
|
|
||
12.09.2006, 15:51
Ehrenmitglied
Beiträge: 29434 |
#13
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html ich weiss nicht, ob die pfade korrekt sind: C:\Programme\Winamp\Plugins\Milkdrop\Zylot - S. Pulse Virus.milk C:\Programme\Winamp\Plugins\avs\Community Picks\Zamuz - Explosive Virus.avs ------------ mediacodec.reg kannst du loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.09.2006, 17:00
Member
Themenstarter Beiträge: 15 |
#14
super, Danke Sabina!
Jetzt ist wohl fürs erste wieder alles im Lot Ich hoffe, ich muss dich nicht so bald wieder belästigen. Nochmal Danke für die super Hilfe!!! olka |
|
|
||
vermutlich hängt es euch schon zum Hals raus...auch ich hab mir Virus-Burst eingefangen.
Habe schon einige Ratschläge hier befolgt, komme dann aber nicht so recht weiter.
Avenger hab ich schonmal durchlaufen lassen, allerdings finde ich die Logfile davon nicht mehr, und wenn ich es jetzt starten will, kommt immer folgende Fehlermeldung:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!
-----------------------------------------------------------
Hier mal die Logfiles von HiJackThis, Regsearch, und irgendwas mit dem Editor...
Ich hoffe, das bringt was:
HijackThis Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 10:42:21, on 11.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\iCodecPack\isamonitor.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iCodecPack\isamini.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\STEFAN\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.campus-braunschweig.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.tu-bs.de;*.tu-braunschweig.de;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\iCodecPack\isaddon.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB002" /M "Stylus CX6600"
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/haphazard/raptisoftgameloader.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/zenpuzzlegarden/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5245C85-AC99-4C6A-B8F4-2E90271FE2BD}: NameServer = 134.169.168.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: considerateness - {4d993022-0899-4599-b4b6-0f887d0802e6} - C:\WINDOWS\system32\oqabf.dll
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
-----------------------------------------------------------------
RegSearch Logfile:
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0
; Results at 11.09.2006 11:13:19 for strings:
; 'virus-burst'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\0\win32]
@="C:\\Programme\\Virus-Burst\\Virus-Burst.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}\1.0\HELPDIR]
@="C:\\Programme\\Virus-Burst\\"
[HKEY_USERS\S-1-5-21-3473767483-36861332-2653674218-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\STEFAN\\LOKALE~1\\Temp\\vb43.exe"="Virus-Burst Install"
"C:\\Programme\\Virus-Burst\\Virus-Burst.exe"="Anti- spyware and adware"
"C:\\Programme\\Virus-Burst\\uninst.exe"="Virus-Burst Install"
"C:\\DOKUME~1\\STEFAN\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="Virus-Burst Install"
; End Of The Log...
-----------------------------------------------------------
Zitat
...hab ich auch gemacht:Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A2-41F8
Verzeichnis von C:\Programme\Virus-Burst
10.09.2006 19:48 <DIR> .
10.09.2006 19:48 <DIR> ..
08.09.2006 01:12 1.507.328 Virus-Burst.exe
10.09.2006 19:49 356 virbur.ini
10.09.2006 19:49 0 ignored.lst
3 Datei(en) 1.507.684 Bytes
2 Verzeichnis(se), 8.465.874.944 Bytes frei
-----------------------------------------------------------------