TR/Vundo.Gen (geht nicht weg, nervt, grr! ;))

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.09.2006, 20:11
Member

Beiträge: 16
#1 1. hijackthis
hat bei meinem letzten mal da auch nicht funktioniert.. wenn ich auf "save" klick, kommt kein editor, garnix. keine ahnung, was da los is.

2. cleanup
hab ich gemacht. 4GB (juhu, mein computer is wieder leer)

3. combofix
Tamara - 06-09-13 19:58:48.20
ComboFix 06.09.11B - Running from: C:\Dokumente und Einstellungen\Tamara\Desktop

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-13 to 2006-09-13 ))))))))))))))))))))))))))))))))))


2006-09-13 18:38 102,420 --a------ C:\WINDOWS\system32\vgvlikmn.dll
2006-09-13 18:37 102,420 --a------ C:\WINDOWS\system32\jhukwowi.dll
2006-09-04 13:31 102,420 --a------ C:\WINDOWS\system32\wisxtfvh.dll
2006-09-04 12:04 102,420 --a------ C:\WINDOWS\system32\xwepltoh.dll
2006-09-04 11:57 102,420 --a------ C:\WINDOWS\system32\qenthswe.dll
2006-09-03 21:50 102,420 --a------ C:\WINDOWS\system32\uytbgjdo.dll
2006-09-03 19:42 102,420 --a------ C:\WINDOWS\system32\rahyslwk.dll
2006-09-03 19:07 102,420 --a------ C:\WINDOWS\system32\npfudyyb.dll
2006-09-02 19:06 102,420 --a------ C:\WINDOWS\system32\jxgkbvob.dll
2006-09-02 17:11 1,086,592 ---hs---- C:\WINDOWS\system32\qpqss.ini2
2006-09-01 19:05 102,420 --a------ C:\WINDOWS\system32\cvkobxvo.dll
2006-08-21 20:59 13,844 --a------ C:\WINDOWS\system32\xxwftawg.exe
2006-08-16 11:44 12,308 --a------ C:\WINDOWS\system32\oithtpws.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-13 19:52 -------- d-------- C:\Dokumente und Einstellungen\Tamara\Anwendungsdaten\Skype
2006-09-13 19:48 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-13 19:40 1164825 ---hs---- C:\WINDOWS\system32\qpqss.bak2
2006-09-13 19:37 -------- d-------- C:\Programme\CleanUp!
2006-09-04 16:09 -------- d-------- C:\Programme\FirstClass V8.20
2006-08-30 22:01 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-30 14:29 81528 --a------ C:\Dokumente und Einstellungen\Tamara\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-11 18:01 -------- d-------- C:\Programme\Internet Explorer
2006-08-03 22:45 -------- d-------- C:\Dokumente und Einstellungen\Tamara\Anwendungsdaten\AdobeUM
2006-07-31 20:50 -------- d-------- C:\Programme\ICQLite
2006-07-29 10:07 -------- d-------- C:\Programme\Sunbelt Software
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 18:04 17750 --a------ C:\WINDOWS\system32\nqhiutno.exe
2006-07-21 18:04 12288 --a------ C:\WINDOWS\system32\drivers\DP.sys
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-17 14:51 -------- d-------- C:\Programme\LimeWire
2006-07-03 13:31 595049 ---hs---- C:\WINDOWS\system32\qpqss.bak1
2006-07-03 13:30 569396 --------- C:\WINDOWS\system32\ssqpq.dll
2006-06-22 17:22 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\BackWeb-8876480.exe"
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PaperPort PTD"="C:\\Programme\\Scansoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\Scansoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\BRMFLPRO\\BrDefPrt.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"VXerq"="C:\\WINDOWS\\kequrd.exe"
"Á²# L\"h'þ9Óœð3rÅWC:\\Programme\\ISTsvc\\istsvc.exe"="C:\\WINDOWS\\kequrd.exe"
"Á²# K\"h'þ9Óœ÷3rÅWC:\\Programme\\ISTsvc\\istsvc.exe"="C:\\WINDOWS\\kequrd.exe"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb06.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"LanguageShortcut"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://www.myblog.de/maniac-a"
"SubscribedURL"="http://www.myblog.de/maniac-a"
"FriendlyName"="Feeling Pushed Again... - weblog@myblog.de"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,c4,00,00,00,23,00,00,00,1c,01,00,00,26,01,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,92,02,00,00,23,00,00,00,1c,01,00,00,26,01,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:0f,00,00,00,84,5e,07,00,9e,04,3f,77,99,05,3f,77,e4,5c,\
07,00,a4,ba,d1,77

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SmartUI.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\SmartUI.lnk"
"backup"="C:\\WINDOWS\\pss\\SmartUI.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Scansoft\\PAPERP~1\\SmartUI\\SmartUI.exe "
"item"="SmartUI"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CMESys]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CMESys"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\CMEII\\CMESys.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\czexixyl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="czexixyl"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\czexixyl.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IncrediMail]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IncMail"
"hkey"="HKCU"
"command"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Internet Optimizer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="optimize"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Internet Optimizer\\optimize.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IST Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="istsvc"
"hkey"="HKLM"
"command"="C:\\Programme\\ISTsvc\\istsvc.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\mmtask]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mmtask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Musicmatch\\Musicmatch Jukebox\\mmtask.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\sais]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sais"
"hkey"="HKLM"
"command"="c:\\programme\\180solutions\\sais.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Weather"
"hkey"="HKCU"
"command"="\"C:\\Programme\\WeatherCast\\Weather.exe\" /q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\wwrf]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wwrfm"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\COMMON~1\\wwrf\\wwrfm.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zwxnyjy]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Bcfqgk"
"hkey"="HKLM"
"command"="C:\\Program Files\\Rvpr\\Bcfqgk.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrzf32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 13.09.2006 20:00:01.12
ComboFix.txt
ComboFix2.txt



4. datfindbat

system32

Verzeichnis von C:\WINDOWS\system32

13.09.2006 20:04 1.086.592 qpqss.ini2
13.09.2006 19:58 0 mcrh.tmp
13.09.2006 19:40 1.164.825 qpqss.bak2
13.09.2006 18:38 102.420 vgvlikmn.dll
13.09.2006 18:37 102.420 jhukwowi.dll
04.09.2006 13:31 102.420 wisxtfvh.dll
04.09.2006 12:04 102.420 xwepltoh.dll
04.09.2006 11:57 102.420 qenthswe.dll
03.09.2006 21:50 102.420 uytbgjdo.dll
03.09.2006 19:42 102.420 rahyslwk.dll
03.09.2006 19:07 102.420 npfudyyb.dll
02.09.2006 20:11 1.086.770 qpqss.ini
02.09.2006 19:06 102.420 jxgkbvob.dll
02.09.2006 17:12 1.086.713 qpqss.tmp
01.09.2006 19:05 102.420 cvkobxvo.dll
30.08.2006 12:43 2.206 wpa.dbl
21.08.2006 20:59 13.844 xxwftawg.exe
16.08.2006 11:44 12.308 oithtpws.exe
12.08.2006 12:04 267.008 FNTCACHE.DAT
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 18:04 17.750 nqhiutno.exe
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
12.07.2006 19:34 400.760 perfh009.dat
12.07.2006 19:34 62.422 perfc009.dat
12.07.2006 19:34 415.454 perfh007.dat
12.07.2006 19:34 75.186 perfc007.dat
12.07.2006 19:34 926.938 PerfStringBackup.INI
05.07.2006 12:55 1.057.792 kernel32.dll
03.07.2006 13:31 595.049 qpqss.bak1
03.07.2006 13:30 569.396 ssqpq.dll



temp

Datentr„ger in Laufwerk C: ist DRV1_VOL1
Volumeseriennummer: 621F-A560

Verzeichnis von C:\DOKUME~1\Tamara\LOKALE~1\Temp

13.09.2006 20:00 204 jusched.log
09.09.2005 15:44 24.576 IadHide4.dll
2 Datei(en) 24.780 Bytes
0 Verzeichnis(se), 25.462.177.792 Bytes frei


windows

13.09.2006 19:58 1.339.064 WindowsUpdate.log
13.09.2006 19:50 0 0.log
13.09.2006 19:50 159 wiadebug.log
13.09.2006 19:50 2.652 BRMFBIDI.INI
13.09.2006 19:50 50 wiaservc.log
13.09.2006 19:49 2.048 bootstat.dat
13.09.2006 19:48 32.456 SchedLgU.Txt
13.09.2006 19:44 23.899.300 dp2_log.txt
13.09.2006 14:22 54.156 QTFont.qfn
12.09.2006 19:21 809.980 setupapi.log
10.09.2006 12:05 1.409 QTFont.for
09.09.2006 18:50 49 NeroDigital.ini
19.08.2006 21:07 11.943.990 Firefox Wallpaper.bmp
11.08.2006 18:02 864.101 iis6.log
11.08.2006 18:02 235.540 comsetup.log
11.08.2006 18:02 144.940 ntdtcsetup.log
11.08.2006 18:02 33.857 tabletoc.log
11.08.2006 18:02 1.374 imsins.log
11.08.2006 18:02 320.689 tsoc.log
11.08.2006 18:02 36.981 ocmsn.log
11.08.2006 18:02 17.590 KB920214.log
11.08.2006 18:02 41.038 medctroc.Log
11.08.2006 18:02 118.358 netfxocm.log
11.08.2006 18:02 362.174 ocgen.log
11.08.2006 18:02 34.703 msgsocm.log
11.08.2006 18:02 670.219 FaxSetup.log
11.08.2006 18:02 233.570 msmqinst.log
11.08.2006 18:02 1.374 imsins.BAK
11.08.2006 18:02 17.900 KB922616.log
11.08.2006 18:02 38.518 updspapi.log
11.08.2006 18:02 17.535 KB921398.log
11.08.2006 18:02 20.379 KB918899.log
11.08.2006 18:01 10.873 KB920670.log
11.08.2006 18:01 11.378 KB917422.log
10.08.2006 23:03 12.377 KB920683.log
09.08.2006 18:01 11.891 KB921883.log
12.07.2006 19:06 11.940 KB917159.log
12.07.2006 19:05 12.459 KB914388.log
12.07.2006 19:04 10.415 KB916595.log
03.07.2006 14:09 180.059 setupact.log
03.07.2006 14:06 234.190 ntbtlog.txt



c

13.09.2006 20:08 0 sys.txt
13.09.2006 20:07 11.592 system.txt
13.09.2006 20:05 339 systemtemp.txt
13.09.2006 20:04 110.911 system32.txt
13.09.2006 20:00 12.325 ComboFix.txt
13.09.2006 19:55 159 ComboFix2.txt
13.09.2006 19:48 792.723.456 pagefile.sys
07.07.2006 19:56 57.588 files.txt
03.07.2006 14:14 1.506 rapport.txt
03.07.2006 13:33 14.486 avenger.txt
14.02.2006 14:37 211 boot.ini
13.11.2005 13:57 84 OSCAR1.INI
31.10.2005 17:56 700.416 StubInstaller.exe
02.10.2005 13:50 16 mxfilerelatedcache.mxc2
09.09.2005 15:44 183 LogiSetup.log
03.10.2004 22:56 1.466 log.txt
28.08.2004 00:46 47.564 NTDETECT.COM
28.08.2004 00:46 251.184 ntldr
14.07.2004 16:06 0 CONFIG.SYS
14.07.2004 16:06 0 IO.SYS
14.07.2004 16:06 0 MSDOS.SYS
14.07.2004 16:06 0 AUTOEXEC.BAT



5. genauere beschreibung
puh, schwer was man da hinschreibt. ich wollt heute in meine eigenen dateien - funktioniert nicht. ich kann garkeine ordner mehr öffnen, ohne dass meine taskleiste für 10 sekunden weg is und die meldung kommt "trojaner auf ihrem pc" usw.
die beschädigten dateien (dieses ssqq etc.) wurden irgendwie zeitweise gelöscht, warn aber nach kürzester zeit wieder da.


dankeschön für die hilfe & schönen abend noch

lg tam[/b]
Seitenanfang Seitenende
14.09.2006, 00:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 micewich

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrzf32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zwxnyjy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\wwrf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\sais
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IST Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Internet Optimizer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\czexixyl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CMESys

Files to delete:
C:\WINDOWS\system32\drivers\DP.sys
C:\WINDOWS\system32\qpqss.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qpqss.bak2
C:\WINDOWS\system32\vgvlikmn.dll
C:\WINDOWS\system32\jhukwowi.dll
C:\WINDOWS\system32\wisxtfvh.dll
C:\WINDOWS\system32\xwepltoh.dll
C:\WINDOWS\system32\qenthswe.dll
C:\WINDOWS\system32\uytbgjdo.dll
C:\WINDOWS\system32\rahyslwk.dll
C:\WINDOWS\system32\npfudyyb.dll
C:\WINDOWS\system32\qpqss.ini
C:\WINDOWS\system32\jxgkbvob.dll
C:\WINDOWS\system32\qpqss.tmp
C:\WINDOWS\system32\cvkobxvo.dll
C:\WINDOWS\system32\xxwftawg.exe
C:\WINDOWS\system32\oithtpws.exe
C:\WINDOWS\system32\nqhiutno.exe
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\ssqpq.dll
C:\WINDOWS\czexixyl.exe
C:\WINDOWS\kequrd.exe

Folders to delete:
C:\Program Files\Rvpr
C:\Programme\WeatherCast
C:\Programme\180solutions
C:\Programme\ISTsvc
C:\Program Files\Internet Optimizer
C:\Programme\Common Files\wwrf
C:\Programme\Gemeinsame Dateien\CMEII
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
poste noch mal die 4 logs von datfindbat (bis Mai 2006)

+
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2006, 12:30
...neu hier

Beiträge: 4
#3 Hallo! Ich habe auch das Problem mit diesem TR/Vundo.gen. Bei mir sitzt er nach AntiVir in c:\windows\system32\mlljh.dll...
Ich habe die ganzen logs erstellt, hier sind sie:

Logfile of HijackThis v1.99.1
Scan saved at 11:52:10, on 14.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
D:\alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cool.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Sicherheit\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] D:\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\CloneDVD2\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~2\PRINTV~1\pvmodule.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,99/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\alcohol 120%\Alcohol 120\StarWind\StarWindService.exe


Flo - 06-09-14 12:12:58,81 Service Pack 2
ComboFix 06.09.14 - Running from: D:\Downloads

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Inetget2
C:\Programme\ToolBar888
C:\Programme\Gemeinsame Dateien\{320D180E-0745-1031-0415-050330050031}


((((((((((((((((((((((((((((((( Files Created from 2006-08-14 to 2006-09-14 ))))))))))))))))))))))))))))))))))


2006-09-13 19:35 18,944 --a------ C:\WINDOWS\system32\cool.exe
2006-09-02 17:28 931,910 ---hs---- C:\WINDOWS\system32\hjllm.bak2
2006-09-02 10:53 932,544 ---hs---- C:\WINDOWS\system32\hjllm.ini2
2006-09-01 12:58 916,478 ---hs---- C:\WINDOWS\system32\hjllm.bak1
2006-09-01 12:57 573,492 --------- C:\WINDOWS\system32\mlljh.dll
2006-09-01 12:46 18,944 --a------ C:\WINDOWS\system32\winhoq32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-11 08:57 20992 --a------ C:\WINDOWS\system32\igfxtray.exe
2006-09-11 08:57 20992 --a------ C:\WINDOWS\system32\hkcmd.exe
2006-09-11 08:57 20992 --a------ C:\WINDOWS\system32\Check.exe
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltMc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltMgr.sys
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll
2006-06-15 14:15 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch"
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"PCMService"="\"C:\\Programme\\Arcade\\PCMService.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"EPM-DM"="c:\\acer\\epm\\epm-dm.exe"
"ePowerManagement"="C:\\Acer\\ePM\\ePM.exe boot"
"LManager"="C:\\Programme\\Launch Manager\\QtZgAcer.EXE"
"eRecoveryService"="C:\\Windows\\System32\\Check.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Nokia Tray Application"="C:\\Programme\\Gemeinsame Dateien\\Nokia\\NCLTools\\NclTray.exe"
"DataLayer"="C:\\Programme\\Nokia PC Suite 5\\DataLayer.exe"
"Anti-Blaxx Manager"="D:\\Anti-Blaxx\\Anti-Blaxx.exe"
"ElbyCheckAnyDVD"="\"C:\\Programme\\AnyDVD\\ElbyCheck.exe\" /L AnyDVD"
"CloneDVDElbyDelay"="\"C:\\Programme\\CloneDVD2\\ElbyCheck.exe\" /L ElbyDelay"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"PVModule"="C:\\PROGRA~2\\PRINTV~1\\pvmodule.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,fe,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlljh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 14.09.2006 12:14:08.09
ComboFix.txt


Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

14.09.2006 12:17 932.560 hjllm.ini2
14.09.2006 12:06 931.910 hjllm.bak2
13.09.2006 19:35 18.944 cool.exe
13.09.2006 18:04 318.680 perfh007.dat
13.09.2006 18:04 728.266 PerfStringBackup.INI
13.09.2006 18:04 40.998 perfc009.dat
13.09.2006 18:04 49.424 perfc007.dat
13.09.2006 18:04 313.280 perfh009.dat
12.09.2006 17:46 916.478 hjllm.bak1
11.09.2006 10:37 8.960.936 MRT.exe
11.09.2006 08:57 20.992 hkcmd.exe
11.09.2006 08:57 20.992 Check.exe
11.09.2006 08:57 20.992 igfxtray.exe
09.09.2006 12:42 778 eRLog.ini
01.09.2006 19:48 820.686 hjllm.tmp
01.09.2006 12:58 819.930 hjllm.ini
01.09.2006 12:57 573.492 mlljh.dll
01.09.2006 12:46 18.944 winhoq32.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltMc.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
25.06.2006 14:42 1.158 wpa.dbl
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 12:47 181.248 rasmans.dll
22.06.2006 07:06 69.120 ciodm.dll
22.06.2006 07:06 1.441.792 query.dll
15.06.2006 14:15 57.384 avsda.dll

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Flo\LOKALE~1\Temp

14.09.2006 12:17 240 datFind.zip
1 Datei(en) 240 Bytes
0 Verzeichnis(se), 17.039.228.928 Bytes frei


Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

14.09.2006 12:09 852 win.ini
14.09.2006 11:55 155 winamp.ini
13.09.2006 23:14 34.210 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
13.09.2006 22:03 70.875 wmsetup.log
13.09.2006 19:39 1.516.921 WindowsUpdate.log
13.09.2006 19:31 0 0.log
13.09.2006 19:31 2.048 bootstat.dat
13.09.2006 19:21 32.558 SchedLgU.Txt
13.09.2006 19:21 174.343 tsoc.log
13.09.2006 19:21 13.056 KB920685.log
13.09.2006 19:21 69.274 iis6.log
13.09.2006 19:21 153.656 comsetup.log
13.09.2006 19:21 93.001 ntdtcsetup.log
13.09.2006 19:21 24.395 ocmsn.log
13.09.2006 19:21 1.374 imsins.log
13.09.2006 19:21 341.556 setupapi.log
13.09.2006 19:21 22.223 msgsocm.log
13.09.2006 19:21 218.599 ocgen.log
13.09.2006 19:21 458.116 FaxSetup.log
13.09.2006 19:21 15.123 KB920872.log
13.09.2006 19:21 1.374 imsins.BAK
13.09.2006 19:21 13.207 KB919007.log
13.09.2006 19:21 9.101 KB922582.log
13.09.2006 19:20 22.944 updspapi.log
13.09.2006 18:00 1.830 spupdsvc.log
13.09.2006 17:57 20.349 KB917734.log
13.09.2006 17:56 21.151 KB920214.log
13.09.2006 17:56 19.974 KB921883.log
13.09.2006 17:56 21.035 KB922616.log
13.09.2006 17:56 20.513 KB911280.log
13.09.2006 17:55 19.974 KB911562.log
13.09.2006 17:55 20.454 KB900485.log
13.09.2006 17:55 19.308 KB917159.log
13.09.2006 17:55 20.051 KB921398.log
13.09.2006 17:55 23.154 KB918899.log
13.09.2006 17:54 15.342 KB920670.log
13.09.2006 17:54 15.542 KB918439.log
13.09.2006 17:54 15.985 KB914388.log
13.09.2006 17:54 15.017 KB917344.log
13.09.2006 17:54 14.794 KB917953.log
13.09.2006 17:53 14.616 KB917422.log
13.09.2006 17:53 14.244 KB916595.log
13.09.2006 17:53 14.674 KB908531.log
13.09.2006 17:53 14.813 KB913580.log
13.09.2006 17:53 13.586 KB911567.log
13.09.2006 17:52 13.302 KB920683.log
13.09.2006 17:52 12.976 KB914389.log
12.09.2006 18:05 54.156 QTFont.qfn
04.09.2006 13:13 216 wiadebug.log
04.09.2006 13:13 50 wiaservc.log
30.08.2006 20:54 2.209 OEWABLog.txt
30.08.2006 16:09 301 nsw.log
19.07.2006 15:09 24.285 DirectX.log
13.07.2006 18:26 43 gswin32.ini
01.07.2006 23:12 378 wmsetup10.log
14.06.2006 10:39 157 matlab.ini


Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

14.09.2006 12:18 0 sys.txt
14.09.2006 12:18 10.041 system.txt
14.09.2006 12:18 284 systemtemp.txt
14.09.2006 12:17 109.908 system32.txt
13.09.2006 20:28 0 PrMgrAPI.log
13.09.2006 19:31 1.071.763.456 hiberfil.sys
13.09.2006 19:31 1.610.612.736 pagefile.sys
12.09.2006 19:38 15.082 hpfr3600.log
13.07.2006 10:25 8.192 dvb4.GRF
13.07.2006 10:24 13.824 dvb.GRF
23.11.2005 18:52 503 os629005.bin
23.06.2005 18:44 2.785 LGSInst.Log
20.06.2005 20:10 211 boot.ini
20.06.2005 16:48 6 ISACER.ID
31.03.2005 17:23 75 PRELOAD.AAA
31.03.2005 17:11 774 IPH.PH
31.03.2005 02:18 50 AUTOEXEC.BAT
31.03.2005 01:49 0 MSDOS.SYS
31.03.2005 01:49 0 CONFIG.SYS
31.03.2005 01:49 0 IO.SYS
04.08.2004 05:00 4.952 bootfont.bin
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 47.564 NTDETECT.COM
23 Datei(en) 2.682.841.627 Bytes
0 Verzeichnis(se), 17.039.032.320 Bytes frei



Vielen Dank schonmal. fänd ich echt super, wenn ihr mir helfen könntet.


-----------

ist fuer mich... fuer spaeter....

Zitat

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlljh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32

C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\cool.exe
C:\WINDOWS\system32\hjllm.bak1

C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\Check.exe
C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hjllm.tmp
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\mlljh.dll
C:\WINDOWS\system32\winhoq32.dll
Seitenanfang Seitenende
14.09.2006, 13:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 FloSa

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\Check.exe
C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\fltlib.dll
C:\WINDOWS\system32\fltMc.exe

das obere sind trojaner, poste die reporte von virustotal

--------------------------------------------------------------------------
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
--------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2006, 14:43
Member

Themenstarter

Beiträge: 16
#5 hmm.. bei mir is kein log gekommen.. also es stand da, dass es das log nicht finden kann, und ob die datei neu erstellt werden soll - ich hab auf "ja" geklickt und jetzt steht zwar da unten beim editor "avenger", aber es steht nichts drin..

ahjah.. und nach dem neustart war so ein schwarzes kastl da und da stand irgendwas mit, "files not found" oder sowas..?!

soll ich einfach mit dem rest weitermachen? oder das nochmal probieren?

mh.. und hijackthis funktioniert bei mir ja nicht. war die letzten male auch schon so. ich weiß nicht, was da los is.

lg tam
Seitenanfang Seitenende
14.09.2006, 15:24
Member

Themenstarter

Beiträge: 16
#6

Zitat

was fuer ein Neustart ????????? was machst du ???
--> Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

dieser neustart --> script wurde ausgeführt, er hat gefragt ob ich jez rebooten will --> hab ich gemacht. dann kam das, was ich da oben geschrieben hab.
(edit 2) hm.. das oben kann man falsch auffassen, sry. ich hab neugestartet, das schwarze fenster is gekommen & dann hat er gesagt, dass er "avenger.txt (oder so)" nicht finden kann und ob er das neu erstellen soll. ich hab auf neu erstellen geklickt (oder halt auf ja) und jez hab ich diesen netten leeren editor.


Zitat

versuche es mit:
kaspersky
http://www.kaspersky.com/de/remoteviruschk.html

C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\Check.exe
C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\fltlib.dll
C:\WINDOWS\system32\fltMc.exe
das funktioniert ja nur mit IE & IE funktioniert bei mir nicht --> wenn ichs öffnen will, kommt die meldung von antivir, dass ich diesen dummen trojaner hab.

(edit 1) --> ahh... die dateien soll ich scannen oder wie? also auf "kaspersky file scanner"?

Zitat

dann poste das listen.bat
wie bekomm ich das noch schnell?!



(edit)
mir ist gerade eingefallen, warum das mit dem avenger nicht funktioniert hat. ich hab davor ja schonmal was mit avenger gemacht (wegen spyquake oder so..) & danach hab ich die dateien einfach alle so lassen (also die avenger.txt nicht gelöscht). vielleicht konnte er einfach die datei nicht überschreiben.


wie sinnvoll ist das einfach alles nochmal zu machen?! also nochmal combofix & datfindbat reinposten und es dann nochmal mit dem avenger versuchen?


lg & DANKE. ;)
tut mir leid, dass ich da ein bisschen unfähig bin....
Dieser Beitrag wurde am 14.09.2006 um 16:05 Uhr von micewich editiert.
Seitenanfang Seitenende
14.09.2006, 17:34
...neu hier

Beiträge: 4
#7 Hallo nochmal...

ich habe die Daten gescannt.

hkcmd.exe:
AntiVir 7.2.0.16 09.14.2006 HEUR/Malware
Authentium 4.93.8 09.13.2006 no virus found
Avast 4.7.844.0 09.13.2006 no virus found
AVG 386 09.13.2006 Downloader.Agent.FJQ
BitDefender 7.2 09.14.2006 Trojan.LowZones.DH
CAT-QuickHeal 8.00 09.14.2006 TrojanDownloader.Agent.awf
ClamAV devel-20060426 09.14.2006 no virus found
eTrust-InoculateIT 23.72.124 09.14.2006 no virus found
eTrust-Vet 30.3.3077 09.14.2006 no virus found
DrWeb 4.33 09.14.2006 Trojan.LowZones.178
Ewido 4.0 09.14.2006 Downloader.Agent.awf
Fortinet 2.82.0.0 09.13.2006 W32/Agent.AWF!tr.dldr
F-Prot 3.16f 09.13.2006 no virus found
F-Prot4 4.2.1.29 09.13.2006 no virus found
Ikarus 0.2.65.0 09.14.2006 no virus found
Kaspersky 4.0.2.24 09.14.2006 Trojan-Downloader.Win32.Agent.awf
McAfee 4851 09.13.2006 QLowZones-14
Microsoft 1.1560 09.14.2006 no virus found
NOD32v2 1.1756 09.14.2006 no virus found
Norman 5.80.02 09.14.2006 W32/Agent.AKJS
Panda 9.0.0.4 09.14.2006 Trj/Lowzones.ST
Sophos 4.09.0 09.14.2006 Troj/Agent-DFJ
Symantec 8.0 09.14.2006 Trojan.LowZones
TheHacker 5.9.8.211 09.14.2006 no virus found
UNA 1.83 09.13.2006 TrojanDownloader.Win32.Agent.3259
VBA32 3.11.1 09.13.2006 Trojan.LowZones.178
VirusBuster 4.3.7:9 09.14.2006 no virus found

check.exe:
AntiVir 7.2.0.16 09.14.2006 HEUR/Malware
Authentium 4.93.8 09.13.2006 no virus found
Avast 4.7.844.0 09.13.2006 no virus found
AVG 386 09.13.2006 Downloader.Agent.FJQ
BitDefender 7.2 09.14.2006 Trojan.LowZones.DH
CAT-QuickHeal 8.00 09.14.2006 TrojanDownloader.Agent.awf
ClamAV devel-20060426 09.14.2006 no virus found
DrWeb 4.33 09.14.2006 Trojan.LowZones.178
eTrust-InoculateIT 23.72.124 09.14.2006 no virus found
eTrust-Vet 30.3.3077 09.14.2006 no virus found
Ewido 4.0 09.14.2006 Downloader.Agent.awf
Fortinet 2.82.0.0 09.13.2006 W32/Agent.AWF!tr.dldr
F-Prot 3.16f 09.13.2006 no virus found
F-Prot4 4.2.1.29 09.13.2006 no virus found
Ikarus 0.2.65.0 09.14.2006 no virus found
Kaspersky 4.0.2.24 09.14.2006 Trojan-Downloader.Win32.Agent.awf
McAfee 4851 09.13.2006 QLowZones-14
Microsoft 1.1560 09.14.2006 no virus found
NOD32v2 1.1756 09.14.2006 no virus found
Norman 5.90.23 09.14.2006 W32/Agent.AKJS
Panda 9.0.0.4 09.14.2006 Trj/Lowzones.ST
Sophos 4.09.0 09.14.2006 Troj/Agent-DFJ
Symantec 8.0 09.14.2006 Trojan.LowZones
TheHacker 5.9.8.211 09.14.2006 no virus found
UNA 1.83 09.13.2006 TrojanDownloader.Win32.Agent.3259
VBA32 3.11.1 09.13.2006 Trojan.LowZones.178
VirusBuster 4.3.7:9 09.14.2006 no virus found

igfxtray.exe:
AntiVir 7.2.0.16 09.14.2006 HEUR/Malware
Authentium 4.93.8 09.13.2006 no virus found
Avast 4.7.844.0 09.13.2006 no virus found
AVG 386 09.13.2006 Downloader.Agent.FJQ
BitDefender 7.2 09.14.2006 Trojan.LowZones.DH
CAT-QuickHeal 8.00 09.14.2006 TrojanDownloader.Agent.awf
ClamAV devel-20060426 09.13.2006 no virus found
DrWeb 4.33 09.14.2006 Trojan.LowZones.178
eTrust-InoculateIT 23.72.124 09.14.2006 no virus found
eTrust-Vet 30.3.3076 09.13.2006 no virus found
Ewido 4.0 09.13.2006 Downloader.Agent.awf
Fortinet 2.82.0.0 09.13.2006 W32/Agent.AWF!tr.dldr
F-Prot 3.16f 09.13.2006 no virus found
F-Prot4 4.2.1.29 09.13.2006 no virus found
Ikarus 0.2.65.0 09.14.2006 no virus found
Kaspersky 4.0.2.24 09.14.2006 Trojan-Downloader.Win32.Agent.awf
McAfee 4851 09.13.2006 QLowZones-14
Microsoft 1.1560 09.14.2006 no virus found
NOD32v2 1.1756 09.14.2006 no virus found
Norman 5.90.23 09.13.2006 W32/Agent.AKJS
Panda 9.0.0.4 09.14.2006 Trj/Lowzones.ST
Sophos 4.09.0 09.14.2006 Troj/Agent-DFJ
Symantec 8.0 09.14.2006 Trojan.LowZones
TheHacker 5.9.8.210 09.13.2006 no virus found
UNA 1.83 09.13.2006 TrojanDownloader.Win32.Agent.3259
VBA32 3.11.1 09.13.2006 Trojan.LowZones.178
VirusBuster 4.3.7:9 09.14.2006 no virus found

fltlib.dll:

nichts gefunden


fltMC.exe auch nicht.





Hier ist der Text:
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Windows\System32\Com

31.03.2005 01:46 <DIR> .
31.03.2005 01:46 <DIR> ..
04.08.2004 05:00 9.728 comrepl.exe
04.08.2004 05:00 77.348 comexp.msc
04.08.2004 05:00 61.440 comempty.dat
04.08.2004 05:00 5.120 comrereg.exe
04.08.2004 05:00 19.456 mtsadmin.tlb
26.07.2005 05:39 195.072 comadmin.dll
6 Datei(en) 368.164 Bytes
2 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

31.03.2005 01:48 <DIR> .
31.03.2005 01:48 <DIR> ..
13.04.2005 13:46 678 mcinsctl.inf
24.05.2005 17:47 691 McGDMgr.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
3 Datei(en) 2.531 Bytes
2 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Flo

20.06.2005 20:11 <DIR> .
20.06.2005 20:11 <DIR> ..
20.06.2005 20:12 <DIR> Eigene Dateien
31.03.2005 01:41 <DIR> Startmen
20.06.2005 20:12 <DIR> Favoriten
31.03.2005 01:41 <DIR> Desktop
20.06.2005 16:24 105 ACERBACKUPCDLog.TXT
22.06.2005 21:50 <DIR> Nokia Phone Browser
12.10.2005 12:58 <DIR> WINDOWS
22.11.2005 20:18 101.562 Untitled2_MAS.bak
10.06.2006 19:29 2.946 Maple9.5.ini
06.12.2005 17:58 1.421 Untitled0_MAS.bak
19.12.2005 20:00 58 MeineDaten.txt
20.12.2005 15:14 <DIR> Application Data
22.08.2006 21:40 <DIR> OngameNetwork
5 Datei(en) 106.092 Bytes
10 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temp

20.06.2005 20:11 <DIR> .
20.06.2005 20:11 <DIR> ..
14.09.2006 12:23 0 SOF83E.tmp
14.09.2006 12:23 1.763 SOF83F.tmp
2 Datei(en) 1.763 Bytes
2 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Temp

31.03.2005 01:35 <DIR> .
31.03.2005 01:35 <DIR> ..
13.09.2006 19:33 0 win755.tmp
14.09.2006 12:10 0 win83D.tmp
14.09.2006 12:26 1.109 win840.tmp
14.09.2006 12:52 0 win85F.tmp
14.09.2006 12:54 0 win860.tmp
14.09.2006 12:56 0 win861.tmp
14.09.2006 12:58 0 win862.tmp
14.09.2006 13:00 0 win863.tmp
14.09.2006 13:20 0 win86A.tmp
14.09.2006 13:40 0 win86E.tmp
14.09.2006 14:00 0 win86F.tmp
14.09.2006 15:45 0 win870.tmp
14.09.2006 15:45 0 win871.tmp
14.09.2006 15:45 0 win872.tmp
14.09.2006 15:47 0 win873.tmp
14.09.2006 15:47 0 win874.tmp
14.09.2006 15:49 0 win875.tmp
14.09.2006 15:49 0 win876.tmp
14.09.2006 15:51 0 win87E.tmp
14.09.2006 15:51 0 win87F.tmp
14.09.2006 15:53 0 win883.tmp
14.09.2006 15:53 0 win884.tmp
14.09.2006 15:55 0 win887.tmp
14.09.2006 15:55 0 win888.tmp
14.09.2006 15:57 0 win889.tmp
14.09.2006 15:57 0 win88A.tmp
26 Datei(en) 1.109 Bytes
2 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Temp

11.12.2005 18:14 <DIR> .
11.12.2005 18:14 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Programme

31.03.2005 01:41 <DIR> .
31.03.2005 01:41 <DIR> ..
31.03.2005 01:41 <DIR> Gemeinsame Dateien
31.03.2005 01:46 <DIR> Windows NT
31.03.2005 01:46 <DIR> MSN
31.03.2005 01:46 <DIR> MSN Gaming Zone
31.03.2005 01:46 <DIR> Messenger
31.03.2005 01:46 <DIR> Windows Media Player
31.03.2005 01:46 <DIR> Online Services
31.03.2005 01:47 <DIR> Internet Explorer
31.03.2005 01:47 <DIR> Outlook Express
31.03.2005 01:47 <DIR> NetMeeting
31.03.2005 01:47 <DIR> Movie Maker
31.03.2005 01:48 <DIR> Online-Dienste
31.03.2005 01:49 <DIR> microsoft frontpage
31.03.2005 01:49 <DIR> xerox
31.03.2005 01:56 <DIR> Intel
31.03.2005 02:03 <DIR> CONEXANT
31.03.2005 02:06 <DIR> Synaptics
31.03.2005 02:08 <DIR> Acer Inc
31.03.2005 02:10 <DIR> Adobe
31.03.2005 02:12 <DIR> CyberLink
31.03.2005 02:17 <DIR> NewTech Infosystems
31.03.2005 09:39 <DIR> Arcade
31.03.2005 17:11 <DIR> Real
31.03.2005 17:11 <DIR> QuickTime
31.03.2005 17:11 <DIR> Viewpoint
31.03.2005 17:11 <DIR> Learn2.com
20.06.2005 20:11 <DIR> ATI Technologies
20.06.2005 20:13 <DIR> WinPCap
20.06.2005 20:16 <DIR> Launch Manager
20.06.2005 20:16 <DIR> acer
20.06.2005 16:50 <DIR> Norton AntiVirus
20.06.2005 17:10 <DIR> Mozilla Firefox
21.06.2005 16:32 <DIR> Winamp
22.06.2005 14:35 <DIR> Azureus
22.06.2005 14:40 <DIR> Java
22.06.2005 15:16 <DIR> Microsoft Office
22.06.2005 15:21 <DIR> Microsoft Visual Studio
22.06.2005 20:56 <DIR> WinRAR
22.06.2005 21:02 <DIR> WinDVD7
22.06.2005 21:03 <DIR> Creative
22.06.2005 21:03 <DIR> Common
22.06.2005 21:49 <DIR> Nokia PC Suite 5
22.06.2005 21:50 <DIR> Nokia Modem Options
22.06.2005 21:50 <DIR> Nokia Multimedia Player
23.06.2005 18:43 <DIR> Logitech
27.06.2005 16:47 <DIR> BueroKomplett
04.07.2005 14:58 <DIR> gs
05.07.2005 20:28 <DIR> MatheAss
27.07.2005 11:08 <DIR> BearShare
27.07.2005 11:23 <DIR> Spybot - Search & Destroy
04.08.2005 10:20 <DIR> 3DO
15.08.2005 20:58 <DIR> Save
16.08.2005 23:36 <DIR> ICQLite
31.08.2005 10:32 <DIR> Google
07.09.2005 19:27 <DIR> Elaborate Bytes
07.09.2005 19:28 <DIR> SlySoft
22.11.2005 19:57 <DIR> Mathematica5.0
22.11.2005 20:11 <DIR> Maple 9.5
23.11.2005 14:27 <DIR> Derive 6 Trial Edition
20.12.2005 15:12 <DIR> MatLab
25.12.2005 11:47 <DIR> DVB-T
02.01.2006 18:25 <DIR> CloneDVD2
02.01.2006 18:29 <DIR> AnyDVD
17.01.2006 19:56 <DIR> NCH Swift Sound
13.02.2006 20:47 <DIR> MSN Messenger
16.02.2006 13:30 <DIR> IKEA Home Planner Office
16.02.2006 13:31 <DIR> IKEA Home Planner Kitchen
16.02.2006 16:14 <DIR> Common~1
16.02.2006 16:14 <DIR> 3D Wohnungsplaner 5.0
16.02.2006 16:17 <DIR> DATA BECKER
06.03.2006 12:45 <DIR> AntiVir PersonalEdition Classic
11.03.2006 17:16 <DIR> DivX
02.05.2006 22:05 <DIR> Ubisoft
20.08.2006 12:12 <DIR> PartyGaming
14.09.2006 11:50 <DIR> Sicherheit
0 Datei(en) 0 Bytes
77 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten

20.06.2005 20:11 <DIR> .
20.06.2005 20:11 <DIR> ..
31.03.2005 01:49 <DIR> Microsoft
15.12.2005 18:19 48.872 GDIPFONTCACHEV1.DAT
20.06.2005 20:28 <DIR> Powercinema
13.09.2006 20:25 19.456 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
20.06.2005 20:29 <DIR> Help
20.06.2005 20:31 <DIR> Adobe
22.06.2005 21:46 <DIR> Nokia
17.07.2005 20:12 <DIR> Identities
22.11.2005 19:58 <DIR> Mathematica
28.03.2006 12:44 <DIR> WMTools Downloaded Files
2 Datei(en) 68.328 Bytes
10 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Flo\Anwendungsdaten

20.06.2005 20:11 <DIR> .
20.06.2005 20:11 <DIR> ..
31.03.2005 01:55 <DIR> Identities
31.03.2005 17:11 <DIR> You've Got Pictures Screensaver
31.03.2005 17:12 <DIR> AOL
20.06.2005 20:28 <DIR> CyberLink
20.06.2005 20:29 <DIR> Help
20.06.2005 20:31 <DIR> Adobe
20.06.2005 20:31 <DIR> AdobeUM
20.06.2005 21:32 <DIR> Macromedia
20.06.2005 16:50 <DIR> Symantec
20.06.2005 17:10 <DIR> Mozilla
22.06.2005 14:41 <DIR> Azureus
22.06.2005 15:16 <DIR> Microsoft Web Folders
22.06.2005 21:07 <DIR> InterVideo
03.07.2005 12:34 <DIR> THQ
08.07.2005 13:35 <DIR> Sun
27.07.2005 17:32 <DIR> Intel
16.08.2005 23:36 <DIR> ICQLite
31.08.2005 10:32 <DIR> Google
21.10.2005 12:22 0 dm.ini
21.10.2005 12:22 875 AdobeDLM.log
02.11.2005 16:17 <DIR> My Games
03.11.2005 13:47 <DIR> Dev-Cpp
22.11.2005 19:58 <DIR> Mathematica
17.01.2006 19:58 <DIR> NCH Swift Sound
17.01.2006 19:58 <DIR> RecordPad
10.05.2006 17:56 <DIR> Real
2 Datei(en) 875 Bytes
26 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

31.03.2005 01:40 <DIR> .
31.03.2005 01:40 <DIR> ..
31.03.2005 17:10 <DIR> AOL
31.03.2005 17:11 <DIR> QuickTime
31.03.2005 17:11 <DIR> Viewpoint
20.06.2005 20:13 <DIR> Intel
20.06.2005 16:50 <DIR> Symantec
27.07.2005 11:17 <DIR> Spybot - Search & Destroy
07.09.2005 19:55 <DIR> NtiDvdCopy
01.10.2005 17:33 <DIR> McAfee.com
22.11.2005 19:58 <DIR> Mathematica
17.01.2006 19:58 <DIR> NCH Swift Sound
06.03.2006 12:45 <DIR> AntiVir PersonalEdition Classic
06.03.2006 12:46 305 addr_file.html
21.07.2006 15:30 <DIR> Adobe
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 17.027.891.200 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Programme\Gemeinsame Dateien

31.03.2005 01:41 <DIR> .
31.03.2005 01:41 <DIR> ..
31.03.2005 01:41 <DIR> Microsoft Shared
31.03.2005 01:41 <DIR> SpeechEngines
31.03.2005 01:47 <DIR> System
31.03.2005 01:47 <DIR> MSSoap
31.03.2005 01:47 <DIR> Dienste
31.03.2005 01:56 <DIR> InstallShield
31.03.2005 02:17 <DIR> NewTech Infosystems
31.03.2005 02:18 <DIR> muvee Technologies
31.03.2005 17:10 <DIR> aol
31.03.2005 17:11 <DIR> Real
31.03.2005 17:11 <DIR> Nullsoft
20.06.2005 20:31 <DIR> Adobe
22.06.2005 14:39 <DIR> Java
22.06.2005 15:21 <DIR> Designer
22.06.2005 21:03 <DIR> InterVideo
22.06.2005 21:49 <DIR> Nokia
23.06.2005 18:44 <DIR> Logitech
27.06.2005 16:46 <DIR> Buhl Data Service
03.07.2005 12:35 <DIR> DirectX
04.08.2005 10:20 <DIR> 3DO Shared
01.11.2005 17:24 <DIR> SWF Studio
10.05.2006 17:57 <DIR> xing shared
0 Datei(en) 0 Bytes
24 Verzeichnis(se), 17.027.891.200 Bytes frei
Seitenanfang Seitenende
14.09.2006, 23:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 micewich

sorry, ich habe dich mit der anderen Userin verwechselt... klar, arbeite noch mal mit dem avenger, wie oben erklaert und poste den report ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2006, 23:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 FloSa

1.
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlljh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32

Files to delete:
C:\WINDOWS\Temp\win755.tmp
C:\WINDOWS\Temp\win83D.tmp
C:\WINDOWS\Temp\win840.tmp
C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\cool.exe
C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\Check.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hjllm.tmp
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\mlljh.dll
C:\WINDOWS\system32\winhoq32.dll

Folders to delete:
C:\Programme\BearShare
C:\Programme\Save

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach dem neustart erscheint

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
scanne und poste den report
http://virus-protect.org/cureit.html

**
scanne mit panda und mit kaspersky und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 14:19
...neu hier

Beiträge: 4
#10 Vielen Dank schonmal... ich habe alles gemacht, lief auch gut und die Datei scheint auch weg zu sein, aber warum musste ich BearShare löschen??


Hier ist das Avenger log:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ocbqrnae

*******************

Script file located at: \??\C:\WINDOWS\system32\vowdymul.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Temp\win755.tmp deleted successfully.
File C:\WINDOWS\Temp\win83D.tmp deleted successfully.
File C:\WINDOWS\Temp\win840.tmp deleted successfully.
File C:\WINDOWS\system32\hjllm.ini2 deleted successfully.
File C:\WINDOWS\system32\hjllm.bak2 deleted successfully.
File C:\WINDOWS\system32\cool.exe deleted successfully.
File C:\WINDOWS\system32\hjllm.bak1 deleted successfully.
File C:\WINDOWS\system32\hkcmd.exe deleted successfully.
File C:\WINDOWS\system32\Check.exe deleted successfully.
File C:\WINDOWS\system32\igfxtray.exe deleted successfully.
File C:\WINDOWS\system32\hjllm.tmp deleted successfully.
File C:\WINDOWS\system32\hjllm.ini deleted successfully.
File C:\WINDOWS\system32\mlljh.dll deleted successfully.
File C:\WINDOWS\system32\winhoq32.dll deleted successfully.
Folder C:\Programme\BearShare deleted successfully.
Folder C:\Programme\Save deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlljh deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Dr.Web:
SynTPLpr.exe;C:\Programme\Synaptics\SynTP;Trojan.LowZones.178;Wird nach dem Neustart desinfiziert.;
SynTPEnh.exe;C:\Programme\Synaptics\SynTP;Trojan.LowZones.178;Gelöscht.;
PCMService.exe;C:\Programme\Arcade;Trojan.LowZones.178;Gelöscht.;
qttask.exe;C:\Programme\QuickTime;Trojan.LowZones.178;Gelöscht.;
atiptaxx.exe;C:\Programme\ATI Technologies\ATI Control Panel;Trojan.LowZones.178;Gelöscht.;
epm-dm.exe;c:\acer\epm;Trojan.LowZones.178;Gelöscht.;
epm.exe;c:\acer\epm;Trojan.LowZones.178;Gelöscht.;
QtZgAcer.EXE;C:\Programme\Launch Manager;Trojan.LowZones.178;Gelöscht.;
jusched.exe;C:\Programme\Java\jre1.5.0_06\bin;Trojan.LowZones.178;Gelöscht.;
NclTray.exe;C:\Programme\Gemeinsame Dateien\Nokia\NCLTools;Trojan.LowZones.178;Gelöscht.;
DataLayer.exe;C:\Programme\Nokia PC Suite 5;Trojan.LowZones.178;Gelöscht.;
Anti-Blaxx.exe;D:\Anti-Blaxx;Trojan.LowZones.178;Gelöscht.;
ElbyCheck.exe;C:\Programme\AnyDVD;Trojan.LowZones.178;Gelöscht.;
ElbyCheck.exe;C:\Programme\CloneDVD2;Trojan.LowZones.178;Gelöscht.;
avgnt.exe;C:\Programme\AntiVir PersonalEdition Classic;Trojan.LowZones.178;Gelöscht.;
realsched.exe;C:\Programme\Gemeinsame Dateien\Real\Update_OB;Trojan.LowZones.178;Gelöscht.;

Panda:
Incident Status Location

Dialer;)ialer.HVO Not disinfected C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SD6FC5MV\srvxlq[1].exe
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Flo\Cookies\flo@atwola[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Flo\Cookies\flo@mediaplex[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Flo\Cookies\flo@2o7[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Flo\Cookies\flo@doubleclick[1].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Flo\Cookies\flo@stats1.reliablestats[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cookies.txt[stats1.reliablestats.com/]
Virus:Trj/Lowzones.ST Disinfected C:\Programme\Synaptics\SynTP\SynTPLpr.exe
Dialer;)ialer.HVO Not disinfected C:\avenger\backup.zip[avenger/cool.exe]
Virus:Trj/Lowzones.ST Disinfected C:\avenger\backup.zip[avenger/hkcmd.exe]
Virus:Trj/Lowzones.ST Disinfected C:\avenger\backup.zip[avenger/Check.exe]
Virus:Trj/Lowzones.ST Disinfected C:\avenger\backup.zip[avenger/igfxtray.exe]
Adware:Adware/SuperSpider Not disinfected C:\avenger\backup.zip[avenger/winhoq32.dll]


Kapersky:
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{C66AD1AB-5C3E-46BE-806F-196133DD6AAD}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temp\SOF5.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006091520060916\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SD6FC5MV\srvxlq[1].exe Infizierte Objekte: Trojan.Win32.Dialer.qs übersprungen
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Microsoft\Outlook\outcmd.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Microsoft\Outlook\MSIN9381.RHC Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\Profiles\29bxh44d.default\key3.db Das Objekt ist gesperrt übersprungen
C:\avenger\backup.zip/avenger/cool.exe Infizierte Objekte: Trojan.Win32.Dialer.qs übersprungen
C:\avenger\backup.zip/avenger/winhoq32.dll Infizierte Objekte: Packed.Win32.Klone.g übersprungen
C:\avenger\backup.zip ZIP: infiziert - 2 übersprungen
Seitenanfang Seitenende
15.09.2006, 14:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 FloSa

Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SD6FC5MV\srvxlq[1].exe
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temp\SOF83E.tmp
C:\Dokumente und Einstellungen\Flo\Lokale Einstellungen\Temp\SOF83F.tmp
loesche alle backups vom avenger
C:\avenger\backup.zip

**
scanne noch mal mit dr.web und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 14:38
Member

Themenstarter

Beiträge: 16
#12 kein problem ;)

hab das jez mal alles wieder gemacht.

hijackthis funktioniert nicht (war klar.. das funktioniert eben bei mir nicht ><;)

cleanup hab ich gemacht

combofix sagt folgendes:
Tamara - 06-09-15 14:01:05.32 Service Pack 2
ComboFix 06.09.14 - Running from: C:\Dokumente und Einstellungen\Tamara\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-08-15 to 2006-09-15 ))))))))))))))))))))))))))))))))))


2006-09-13 18:38 102,420 --a------ C:\WINDOWS\system32\vgvlikmn.dll
2006-09-13 18:37 102,420 --a------ C:\WINDOWS\system32\jhukwowi.dll
2006-09-04 13:31 102,420 --a------ C:\WINDOWS\system32\wisxtfvh.dll
2006-09-04 12:04 102,420 --a------ C:\WINDOWS\system32\xwepltoh.dll
2006-09-04 11:57 102,420 --a------ C:\WINDOWS\system32\qenthswe.dll
2006-09-03 21:50 102,420 --a------ C:\WINDOWS\system32\uytbgjdo.dll
2006-09-03 19:42 102,420 --a------ C:\WINDOWS\system32\rahyslwk.dll
2006-09-03 19:07 102,420 --a------ C:\WINDOWS\system32\npfudyyb.dll
2006-09-02 19:06 102,420 --a------ C:\WINDOWS\system32\jxgkbvob.dll
2006-09-02 17:11 1,086,480 ---hs---- C:\WINDOWS\system32\qpqss.ini2
2006-09-01 19:05 102,420 --a------ C:\WINDOWS\system32\cvkobxvo.dll
2006-08-21 20:59 13,844 --a------ C:\WINDOWS\system32\xxwftawg.exe
2006-08-16 11:44 12,308 --a------ C:\WINDOWS\system32\oithtpws.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-15 13:54 -------- d-------- C:\Programme\CleanUp!
2006-09-15 13:51 -------- d-------- C:\Dokumente und Einstellungen\Tamara\Anwendungsdaten\Skype
2006-09-14 14:40 1167945 ---hs---- C:\WINDOWS\system32\qpqss.bak2
2006-09-13 19:48 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-04 16:09 -------- d-------- C:\Programme\FirstClass V8.20
2006-08-30 22:01 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-30 14:29 81528 --a------ C:\Dokumente und Einstellungen\Tamara\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-11 18:01 -------- d-------- C:\Programme\Internet Explorer
2006-08-03 22:45 -------- d-------- C:\Dokumente und Einstellungen\Tamara\Anwendungsdaten\AdobeUM
2006-07-31 20:50 -------- d-------- C:\Programme\ICQLite
2006-07-29 10:07 -------- d-------- C:\Programme\Sunbelt Software
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 18:04 17750 --a------ C:\WINDOWS\system32\nqhiutno.exe
2006-07-21 18:04 12288 --a------ C:\WINDOWS\system32\drivers\DP.sys
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-17 14:51 -------- d-------- C:\Programme\LimeWire
2006-07-03 13:31 595049 ---hs---- C:\WINDOWS\system32\qpqss.bak1
2006-07-03 13:30 569396 --------- C:\WINDOWS\system32\ssqpq.dll
2006-06-22 17:22 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\BackWeb-8876480.exe"
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PaperPort PTD"="C:\\Programme\\Scansoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\Scansoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\BRMFLPRO\\BrDefPrt.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"VXerq"="C:\\WINDOWS\\kequrd.exe"
"Á²# L\"h'þ9Óœð3rÅWC:\\Programme\\ISTsvc\\istsvc.exe"="C:\\WINDOWS\\kequrd.exe"
"Á²# K\"h'þ9Óœ÷3rÅWC:\\Programme\\ISTsvc\\istsvc.exe"="C:\\WINDOWS\\kequrd.exe"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb06.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"LanguageShortcut"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://www.myblog.de/maniac-a"
"SubscribedURL"="http://www.myblog.de/maniac-a"
"FriendlyName"="Feeling Pushed Again... - weblog@myblog.de"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,c4,00,00,00,23,00,00,00,1c,01,00,00,26,01,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,92,02,00,00,23,00,00,00,1c,01,00,00,26,01,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:0f,00,00,00,84,5e,07,00,9e,04,3f,77,99,05,3f,77,e4,5c,\
07,00,a4,ba,d1,77

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Programme\\Symantec\\LiveUpdate\\ALUNotify.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SmartUI.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\SmartUI.lnk"
"backup"="C:\\WINDOWS\\pss\\SmartUI.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Scansoft\\PAPERP~1\\SmartUI\\SmartUI.exe "
"item"="SmartUI"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CMESys]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CMESys"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\CMEII\\CMESys.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\czexixyl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="czexixyl"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\czexixyl.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IncrediMail]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IncMail"
"hkey"="HKCU"
"command"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe /c"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Internet Optimizer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="optimize"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Internet Optimizer\\optimize.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IST Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="istsvc"
"hkey"="HKLM"
"command"="C:\\Programme\\ISTsvc\\istsvc.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\mmtask]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mmtask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Musicmatch\\Musicmatch Jukebox\\mmtask.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\sais]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sais"
"hkey"="HKLM"
"command"="c:\\programme\\180solutions\\sais.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Weather"
"hkey"="HKCU"
"command"="\"C:\\Programme\\WeatherCast\\Weather.exe\" /q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\wwrf]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wwrfm"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\COMMON~1\\wwrf\\wwrfm.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zwxnyjy]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Bcfqgk"
"hkey"="HKLM"
"command"="C:\\Program Files\\Rvpr\\Bcfqgk.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrzf32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 15.09.2006 14:02:39.32
ComboFix.txt
ComboFix2.txt
ComboFix3.txt

datfindbat:

system32
Datentr„ger in Laufwerk C: ist DRV1_VOL1
Volumeseriennummer: 621F-A560

Verzeichnis von C:\WINDOWS\system32

15.09.2006 14:31 1.176.581 qpqss.ini2
15.09.2006 14:02 1.176.456 qpqss.bak2
15.09.2006 14:00 0 mcrh.tmp
13.09.2006 18:38 102.420 vgvlikmn.dll
13.09.2006 18:37 102.420 jhukwowi.dll
11.09.2006 19:37 8.960.936 MRT.exe
04.09.2006 13:31 102.420 wisxtfvh.dll
04.09.2006 12:04 102.420 xwepltoh.dll
04.09.2006 11:57 102.420 qenthswe.dll
03.09.2006 21:50 102.420 uytbgjdo.dll
03.09.2006 19:42 102.420 rahyslwk.dll
03.09.2006 19:07 102.420 npfudyyb.dll
02.09.2006 20:11 1.086.770 qpqss.ini
02.09.2006 19:06 102.420 jxgkbvob.dll
02.09.2006 17:12 1.086.713 qpqss.tmp
01.09.2006 19:05 102.420 cvkobxvo.dll
30.08.2006 12:43 2.206 wpa.dbl
21.08.2006 20:59 13.844 xxwftawg.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 11:44 12.308 oithtpws.exe
12.08.2006 12:04 267.008 FNTCACHE.DAT
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 18:04 17.750 nqhiutno.exe
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
12.07.2006 19:34 62.422 perfc009.dat
12.07.2006 19:34 400.760 perfh009.dat
12.07.2006 19:34 415.454 perfh007.dat
12.07.2006 19:34 75.186 perfc007.dat
12.07.2006 19:34 926.938 PerfStringBackup.INI
05.07.2006 12:55 1.057.792 kernel32.dll
03.07.2006 13:31 595.049 qpqss.bak1
03.07.2006 13:30 569.396 ssqpq.dll


temp
Datentr„ger in Laufwerk C: ist DRV1_VOL1
Volumeseriennummer: 621F-A560

Verzeichnis von C:\DOKUME~1\Tamara\LOKALE~1\Temp

15.09.2006 14:07 204 jusched.log
09.09.2005 15:44 24.576 IadHide4.dll
2 Datei(en) 24.780 Bytes
0 Verzeichnis(se), 25.372.487.680 Bytes frei


system
Datentr„ger in Laufwerk C: ist DRV1_VOL1
Volumeseriennummer: 621F-A560

Verzeichnis von C:\WINDOWS

15.09.2006 13:56 1.416.799 WindowsUpdate.log
15.09.2006 13:51 54.156 QTFont.qfn
15.09.2006 13:49 0 0.log
15.09.2006 13:49 157 wiadebug.log
15.09.2006 13:49 2.652 BRMFBIDI.INI
15.09.2006 13:49 50 wiaservc.log
15.09.2006 13:48 2.048 bootstat.dat
14.09.2006 20:42 32.456 SchedLgU.Txt
14.09.2006 18:22 243.716 comsetup.log
14.09.2006 18:22 149.900 ntdtcsetup.log
14.09.2006 18:22 890.930 iis6.log
14.09.2006 18:22 331.973 tsoc.log
14.09.2006 18:22 38.349 ocmsn.log
14.09.2006 18:22 1.374 imsins.log
14.09.2006 18:22 35.101 tabletoc.log
14.09.2006 18:22 12.005 KB920685.log
14.09.2006 18:22 42.738 medctroc.Log
14.09.2006 18:22 122.690 netfxocm.log
14.09.2006 18:22 373.838 ocgen.log
14.09.2006 18:22 35.939 msgsocm.log
14.09.2006 18:22 694.947 FaxSetup.log
14.09.2006 18:22 241.138 msmqinst.log
14.09.2006 18:21 1.374 imsins.BAK
14.09.2006 18:21 13.683 KB920872.log
14.09.2006 18:21 811.574 setupapi.log
14.09.2006 18:21 12.199 KB919007.log
14.09.2006 18:21 8.569 KB922582.log
14.09.2006 18:21 39.095 updspapi.log
14.09.2006 18:20 27.479.754 dp2_log.txt
14.09.2006 14:35 3.696 ggieknwm.txt
10.09.2006 12:05 1.409 QTFont.for
09.09.2006 18:50 49 NeroDigital.ini
19.08.2006 21:07 11.943.990 Firefox Wallpaper.bmp
11.08.2006 18:02 17.590 KB920214.log
11.08.2006 18:02 17.900 KB922616.log
11.08.2006 18:02 17.535 KB921398.log
11.08.2006 18:02 20.379 KB918899.log
11.08.2006 18:01 10.873 KB920670.log
11.08.2006 18:01 11.378 KB917422.log
10.08.2006 23:03 12.377 KB920683.log
09.08.2006 18:01 11.891 KB921883.log
12.07.2006 19:06 11.940 KB917159.log
12.07.2006 19:05 12.459 KB914388.log
12.07.2006 19:04 10.415 KB916595.log
03.07.2006 14:09 180.059 setupact.log
03.07.2006 14:06 234.190 ntbtlog.txt


sys
Datentr„ger in Laufwerk C: ist DRV1_VOL1
Volumeseriennummer: 621F-A560

Verzeichnis von C:\

15.09.2006 14:33 0 sys.txt
15.09.2006 14:32 11.842 system.txt
15.09.2006 14:32 339 systemtemp.txt
15.09.2006 14:31 110.911 system32.txt
15.09.2006 14:02 12.779 ComboFix.txt
15.09.2006 13:59 159 ComboFix2.txt
15.09.2006 13:58 159 ComboFix3.txt
15.09.2006 13:48 792.723.456 pagefile.sys
07.07.2006 19:56 57.588 files.txt
03.07.2006 14:14 1.506 rapport.txt
14.02.2006 14:37 211 boot.ini
13.11.2005 13:57 84 OSCAR1.INI
31.10.2005 17:56 700.416 StubInstaller.exe
02.10.2005 13:50 16 mxfilerelatedcache.mxc2
09.09.2005 15:44 183 LogiSetup.log
03.10.2004 22:56 1.466 log.txt
28.08.2004 00:46 47.564 NTDETECT.COM
28.08.2004 00:46 251.184 ntldr
14.07.2004 16:06 0 CONFIG.SYS
14.07.2004 16:06 0 IO.SYS
14.07.2004 16:06 0 MSDOS.SYS
14.07.2004 16:06 0 AUTOEXEC.BAT


____________

so. das sind die sachen, die ich da generell mal brauch. soll ich den avenger jez einfach wieder mit diesen sachen (--> zitat) "füttern" und dann den log von avenger posten?

lg tam

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrzf32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zwxnyjy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\wwrf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\sais
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IST Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Internet Optimizer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\czexixyl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CMESys

Files to delete:
C:\WINDOWS\system32\drivers\DP.sys
C:\WINDOWS\system32\qpqss.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qpqss.bak2
C:\WINDOWS\system32\vgvlikmn.dll
C:\WINDOWS\system32\jhukwowi.dll
C:\WINDOWS\system32\wisxtfvh.dll
C:\WINDOWS\system32\xwepltoh.dll
C:\WINDOWS\system32\qenthswe.dll
C:\WINDOWS\system32\uytbgjdo.dll
C:\WINDOWS\system32\rahyslwk.dll
C:\WINDOWS\system32\npfudyyb.dll
C:\WINDOWS\system32\qpqss.ini
C:\WINDOWS\system32\jxgkbvob.dll
C:\WINDOWS\system32\qpqss.tmp
C:\WINDOWS\system32\cvkobxvo.dll
C:\WINDOWS\system32\xxwftawg.exe
C:\WINDOWS\system32\oithtpws.exe
C:\WINDOWS\system32\nqhiutno.exe
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\ssqpq.dll
C:\WINDOWS\czexixyl.exe
C:\WINDOWS\kequrd.exe

Folders to delete:
C:\Program Files\Rvpr
C:\Programme\WeatherCast
C:\Programme\180solutions
C:\Programme\ISTsvc
C:\Program Files\Internet Optimizer
C:\Programme\Common Files\wwrf
C:\Programme\Gemeinsame Dateien\CMEII
Seitenanfang Seitenende
15.09.2006, 14:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 micewich

ja, wende den avenger an, so oft, bis es klappt und poste den report nach dem neustart
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.09.2006, 14:47
Member

Themenstarter

Beiträge: 16
#14 okay. es hat funktioniert.

avenger log ist:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ifwuggri

*******************

Script file located at: \??\C:\vcxyjmpu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\DP.sys deleted successfully.
File C:\WINDOWS\system32\qpqss.ini2 deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\qpqss.bak2 deleted successfully.
File C:\WINDOWS\system32\vgvlikmn.dll deleted successfully.
File C:\WINDOWS\system32\jhukwowi.dll deleted successfully.
File C:\WINDOWS\system32\wisxtfvh.dll deleted successfully.
File C:\WINDOWS\system32\xwepltoh.dll deleted successfully.
File C:\WINDOWS\system32\qenthswe.dll deleted successfully.
File C:\WINDOWS\system32\uytbgjdo.dll deleted successfully.
File C:\WINDOWS\system32\rahyslwk.dll deleted successfully.
File C:\WINDOWS\system32\npfudyyb.dll deleted successfully.
File C:\WINDOWS\system32\qpqss.ini deleted successfully.
File C:\WINDOWS\system32\jxgkbvob.dll deleted successfully.
File C:\WINDOWS\system32\qpqss.tmp deleted successfully.
File C:\WINDOWS\system32\cvkobxvo.dll deleted successfully.
File C:\WINDOWS\system32\xxwftawg.exe deleted successfully.
File C:\WINDOWS\system32\oithtpws.exe deleted successfully.
File C:\WINDOWS\system32\nqhiutno.exe deleted successfully.
File C:\WINDOWS\system32\qpqss.bak1 deleted successfully.
File C:\WINDOWS\system32\ssqpq.dll deleted successfully.


File C:\WINDOWS\czexixyl.exe not found!
Deletion of file C:\WINDOWS\czexixyl.exe failed!

Could not process line:
C:\WINDOWS\czexixyl.exe
Status: 0xc0000034



File C:\WINDOWS\kequrd.exe not found!
Deletion of file C:\WINDOWS\kequrd.exe failed!

Could not process line:
C:\WINDOWS\kequrd.exe
Status: 0xc0000034

Folder C:\Program Files\Rvpr deleted successfully.


Folder C:\Programme\WeatherCast not found!
Deletion of folder C:\Programme\WeatherCast failed!

Could not process line:
C:\Programme\WeatherCast
Status: 0xc0000034



Folder C:\Programme\180solutions not found!
Deletion of folder C:\Programme\180solutions failed!

Could not process line:
C:\Programme\180solutions
Status: 0xc0000034



Folder C:\Programme\ISTsvc not found!
Deletion of folder C:\Programme\ISTsvc failed!

Could not process line:
C:\Programme\ISTsvc
Status: 0xc0000034

Folder C:\Program Files\Internet Optimizer deleted successfully.
Folder C:\Programme\Common Files\wwrf deleted successfully.


Folder C:\Programme\Gemeinsame Dateien\CMEII not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\CMEII failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\CMEII
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrzf32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zwxnyjy deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\wwrf deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WeatherCast deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\sais deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IST Service deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Internet Optimizer deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\czexixyl deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CMESys deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




____________


dafür sagt er mir jetzt, dass ich auch noch den trojaner TR/Adload.MAS.6 oben hab. aber gut. mal sehen, wies jetzt weitergeht.
was soll ich denn jetzt machen?

lg & danke danke danke! (:
Seitenanfang Seitenende
15.09.2006, 15:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 micewich

scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

dann poste noch mal die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: