Home » Viren, Trojaner & Malware Forum » BDS/Cakl.A.2 ..... fragen ... ! » Themenansicht

BDS/Cakl.A.2 ..... fragen ... !
#0
17.09.2006, 15:26
ShOrTypWnZ
...neu hier

Beiträge: 5
#1 Hallo zusammen !

Habe seit gerade ebend den "BDS/Cakl.A.2" drauf...
Wo ich das bemerkt habe, habe ich sofort alles geblockt..

vssms32.exe darf nicht aufs Internet zugreifen
vssms32.exe darf keine Registry einträge ändern

Hier mein Hijackthislog:

Logfile of HijackThis v1.99.1
Scan saved at 15:19:48, on 17.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Winamp\winamp.exe
D:\Programme\VirtualDJ\virtualdj.exe
C:\WINDOWS\system32\vssms32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\ShOrTy\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156442617750
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{808B9355-5678-4D18-B6FD-525252502201}: NameServer = 217.237.151.225,217.237.150.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{D373E6CF-98DC-4BE4-9693-4459512572C2}: NameServer = 217.237.150.205,217.237.151.225
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Jetzt meine Fragen...

Wer ich das dingen wieder los, ohne Windows neu zumachen ???
Schadet er mir, auch wenn er nix machen darf ???


Bitte um hilfe ... THX im vorraus !

Gruß ShOrTy
Seitenanfang Seitenende
17.09.2006, 21:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 auf deinem Rechner ist folgendes:
http://virus-protect.org/virus/vssms32.html

-----------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

entpacke auf C:\
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.09.2006, 23:06
ShOrTypWnZ
...neu hier

Themenstarter

Beiträge: 5
#3 Hi Sabina !
Danke für die schnelle antwort ...
Wenn ich das richtig verstanden habe, soll ich dir die letzten 3 Monate hierrein kopieren ???? Dann mach ich das mal einfach ^^ ;)

--------------------------------------------
Verzeichnis von C:\WINDOWS\system32

17.09.2006 22:58 2.422 wpa.dbl
17.09.2006 22:58 54.112 vsconfig.xml
17.09.2006 14:28 1.467.904 vssms32.exe
13.09.2006 00:19 16 RgsData.dat
10.09.2006 15:17 62.678 perfc009.dat
10.09.2006 15:17 416.044 perfh007.dat
10.09.2006 15:17 401.398 perfh009.dat
10.09.2006 15:17 75.392 perfc007.dat
10.09.2006 15:17 962.742 PerfStringBackup.INI
10.09.2006 15:10 23.392 nscompat.tlb
10.09.2006 15:10 16.832 amcompat.tlb
06.09.2006 22:21 111.784 FNTCACHE.DAT
31.08.2006 14:34 7.006 jupdate-1.5.0_06-b05.log
31.08.2006 04:31 34.308 BASSMOD.dll
27.08.2006 19:20 34.064 lhacm.acm
23.08.2006 21:56 33 wunilog.ini
19.08.2006 18:52 219.648 uxtheme.dll
18.08.2006 16:39 4.212 zllictbl.dat
18.08.2006 16:05 0 h323log.txt
18.08.2006 15:36 2.422 wpa.bak
18.08.2006 15:16 237 $winnt$.inf
18.08.2006 15:13 2.951 CONFIG.NT
18.08.2006 15:11 488 WindowsLogon.manifest
18.08.2006 15:11 488 logonui.exe.manifest
18.08.2006 15:11 749 cdplayer.exe.manifest
18.08.2006 15:11 749 wuaucpl.cpl.manifest
18.08.2006 15:11 749 sapi.cpl.manifest
18.08.2006 15:11 749 ncpa.cpl.manifest
18.08.2006 15:11 749 nwc.cpl.manifest
18.08.2006 15:09 21.740 emptyregdb.dat
12.08.2006 19:21 8.320 1.sys
09.08.2006 12:03 8.325.544 MRT.exe
29.07.2006 19:32 48.936 sirenacm.dll
27.07.2006 15:25 679.424 inetcomm.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
14.07.2006 10:32 835.072 urlmon.dll
13.07.2006 15:34 8.494.592 shell32.dll
09.07.2006 13:42 42.920 vsutil_loc0407.dll
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 83.960 vsdata.dll
09.07.2006 13:41 796.584 libeay32_0.9.6l.dll
05.07.2006 12:55 1.057.792 kernel32.dll
29.06.2006 09:10 15.584 spmsg.dll
29.06.2006 09:10 474.624 shlwapi.dll
29.06.2006 09:10 113.522 IE7Eula.rtf
29.06.2006 09:10 1.496.576 shdocvw.dll
29.06.2006 09:10 1.022.976 browseui.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 09:28 413.696 vbscript.dll
23.06.2006 09:28 3.388.416 mshtml.dll
23.06.2006 09:28 5.512.704 ieframe.dll
23.06.2006 09:28 172.544 iepeers.dll
23.06.2006 09:28 473.088 mshtmled.dll
23.06.2006 09:28 761.344 wininet.dll
23.06.2006 09:28 223.744 webcheck.dll
23.06.2006 09:28 675.840 mstime.dll
23.06.2006 09:28 47.616 msfeedsbs.dll
23.06.2006 09:28 454.144 msfeeds.dll
23.06.2006 09:28 26.624 jsproxy.dll
23.06.2006 09:28 130.048 extmgr.dll
23.06.2006 09:28 155.648 msls31.dll
23.06.2006 09:28 179.200 ieui.dll
23.06.2006 05:41 172.544 WinFXDocObj.exe
23.06.2006 05:41 425.472 html.iec
23.06.2006 05:41 1.402.368 inetcpl.cpl
23.06.2006 05:40 78.848 ieencode.dll
23.06.2006 05:40 40.960 url.dll
23.06.2006 05:39 183.296 msrating.dll
23.06.2006 05:39 39.424 licmgr10.dll
23.06.2006 05:39 99.328 occache.dll
23.06.2006 05:37 14.336 corpol.dll
23.06.2006 05:34 228.864 ieaksie.dll
23.06.2006 05:34 167.936 ieakeng.dll
23.06.2006 05:34 50.688 ie4uinit.exe
23.06.2006 05:34 81.920 admparse.dll
23.06.2006 05:34 372.736 iedkcs32.dll
23.06.2006 05:33 54.272 iesetup.dll
23.06.2006 05:33 91.648 inseng.dll
23.06.2006 05:33 41.984 iernonce.dll
23.06.2006 05:33 121.856 advpack.dll
23.06.2006 05:32 487.424 jscript.dll
23.06.2006 05:30 11.776 msfeedssync.exe
23.06.2006 05:29 55.296 icardie.dll
23.06.2006 05:29 346.112 dxtmsft.dll
23.06.2006 05:29 44.032 pngfilt.dll
23.06.2006 05:29 35.328 imgutil.dll
23.06.2006 05:29 213.504 dxtrans.dll
23.06.2006 05:27 251.392 iertutil.dll
23.06.2006 05:26 45.568 mshta.exe
23.06.2006 05:26 66.048 tdc.ocx
23.06.2006 04:48 55.976 ieuinit.inf
23.06.2006 04:46 377.856 ieapfltr.dll
23.06.2006 04:45 48.640 mshtmler.dll
23.06.2006 04:41 172.032 ieakui.dll
23.06.2006 04:31 1.383.936 mshtml.tlb
22.06.2006 12:47 181.248 rasmans.dll


--------------------------------------------
Verzeichnis von C:\Temp

--------------------------------------------
Verzeichnis von C:\WINDOWS

17.09.2006 22:58 1.046.306 setupapi.log
17.09.2006 22:58 0 0.log
17.09.2006 22:58 681.078 WindowsUpdate.log
17.09.2006 22:58 2.048 bootstat.dat
17.09.2006 22:57 20.920 SchedLgU.Txt
17.09.2006 22:56 50 wiaservc.log
17.09.2006 22:56 506 wiadebug.log
17.09.2006 15:25 120 hkr32.asm
17.09.2006 15:11 123.590 pxinstall_log.txt
17.09.2006 06:51 116 NeroDigital.ini
17.09.2006 06:45 378 wmsetup10.log
17.09.2006 06:45 59.065 wmsetup.log
16.09.2006 19:03 181.228 setupact.log
13.09.2006 00:19 16 odbctrap.ini
10.09.2006 18:07 6.274 spupdsvc.log
10.09.2006 15:19 61.505 iis6.log
10.09.2006 15:19 156.180 tsoc.log
10.09.2006 15:19 22.290 ocmsn.log
10.09.2006 15:19 85.848 ntdtcsetup.log
10.09.2006 15:19 1.374 imsins.log
10.09.2006 15:19 142.836 comsetup.log
10.09.2006 15:19 5.809 KB922880.log
10.09.2006 15:19 204.174 ocgen.log
10.09.2006 15:19 20.288 msgsocm.log
10.09.2006 15:19 393.516 FaxSetup.log
10.09.2006 15:19 46.462 updspapi.log
10.09.2006 15:19 1.374 imsins.BAK
10.09.2006 15:19 5.580 KB914440.log
10.09.2006 15:19 11.111 KB904942.log
10.09.2006 15:12 6.343 WMCSetup.log
10.09.2006 15:11 3.265 basecsp.log
10.09.2006 15:11 9.632 KB891122.log
10.09.2006 15:11 316.640 WMSysPr9.prx
07.09.2006 13:37 186 sam8_d.INI
07.09.2006 13:37 612 win.ini
07.09.2006 04:47 159.744 LgxSetup.exe
07.09.2006 04:01 279 ym.ini
05.09.2006 12:09 32 CD_Start.INI
05.09.2006 11:49 32.381 DirectX.log
04.09.2006 14:38 1.452 COM+.log
01.09.2006 00:31 918 eReg.dat
31.08.2006 14:34 3.020 mozver.dat


--------------------------------------------


Verzeichnis von C:\

17.09.2006 23:01 0 sys.txt
17.09.2006 23:01 8.454 system.txt
17.09.2006 23:01 103 systemtemp.txt
17.09.2006 23:01 94.744 system32.txt
17.09.2006 22:58 1.610.612.736 pagefile.sys
17.09.2006 22:56 232 sqmdata11.sqm
17.09.2006 22:56 244 sqmnoopt11.sqm
17.09.2006 22:54 339.257 CleanUp452.exe
17.09.2006 17:31 232 sqmdata10.sqm
17.09.2006 17:31 244 sqmnoopt10.sqm
17.09.2006 16:58 232 sqmdata09.sqm
17.09.2006 16:58 244 sqmnoopt09.sqm
17.09.2006 15:26 232 sqmdata08.sqm
17.09.2006 15:26 244 sqmnoopt08.sqm
17.09.2006 07:02 232 sqmdata07.sqm
17.09.2006 07:02 244 sqmnoopt07.sqm
17.09.2006 02:05 232 sqmdata06.sqm
17.09.2006 02:05 244 sqmnoopt06.sqm
16.09.2006 17:52 232 sqmdata05.sqm
16.09.2006 17:52 244 sqmnoopt05.sqm
16.09.2006 02:38 232 sqmdata04.sqm
16.09.2006 02:38 244 sqmnoopt04.sqm
15.09.2006 20:29 232 sqmdata03.sqm
15.09.2006 20:29 244 sqmnoopt03.sqm
15.09.2006 14:56 232 sqmdata02.sqm
15.09.2006 14:56 244 sqmnoopt02.sqm
15.09.2006 03:13 232 sqmdata01.sqm
15.09.2006 03:13 244 sqmnoopt01.sqm
14.09.2006 23:10 232 sqmdata00.sqm
14.09.2006 23:10 244 sqmnoopt00.sqm
14.09.2006 18:58 232 sqmdata19.sqm
14.09.2006 18:58 244 sqmnoopt19.sqm
13.09.2006 14:47 232 sqmdata18.sqm
13.09.2006 14:47 244 sqmnoopt18.sqm
13.09.2006 00:31 232 sqmdata17.sqm
13.09.2006 00:31 244 sqmnoopt17.sqm
07.09.2006 16:21 232 sqmdata16.sqm
07.09.2006 16:21 244 sqmnoopt16.sqm
05.09.2006 12:50 268 sqmdata15.sqm
05.09.2006 12:50 244 sqmnoopt15.sqm
05.09.2006 10:52 268 sqmdata14.sqm
05.09.2006 10:52 244 sqmnoopt14.sqm
05.09.2006 01:23 268 sqmdata13.sqm
05.09.2006 01:23 244 sqmnoopt13.sqm
04.09.2006 21:15 268 sqmdata12.sqm
04.09.2006 21:15 244 sqmnoopt12.sqm
30.08.2006 12:26 40 Auth.prof
26.08.2006 18:44 16.060 pflaume.gif
22.08.2006 23:07 90 LogiSetup.log
18.08.2006 15:13 0 AUTOEXEC.BAT
18.08.2006 15:13 0 MSDOS.SYS
18.08.2006 15:13 0 IO.SYS
18.08.2006 15:13 0 CONFIG.SYS
18.08.2006 15:05 211 boot.ini
23.01.2006 15:36 429 datFind.bat
04.08.2004 15:00 47.564 NTDETECT.COM
04.08.2004 15:00 4.952 bootfont.bin
04.08.2004 15:00 251.184 ntldr
58 Datei(en) 1.611.385.488 Bytes
0 Verzeichnis(se), 3.257.606.144 Bytes frei


Ich hoffe das war richtig so .....
MfG ShOrTy
Seitenanfang Seitenende
18.09.2006, 01:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\vssms32.exe
C:\WINDOWS\system32\RgsData.dat
C:\WINDOWS\hkr32.asm
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

++
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

++
Dr.Web -scanne und poste den scanreport
http://virus-protect.org/cureit.html

++
gehe in die registry
Start - Ausfuehren - regedit

bearbeiten - suchen - vssms32.exe

««
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
C:\\WINDOWS\\system32\\vssms32.exe" -> loeschen

«««
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"AntiVirusDisableNotify"=dword:00000001 -> auf 0 stellen
"FirewallDisableNotify"=dword:00000001 -> auf 0 stellen
"AntiVirusOverride"=dword:00000001 -> auf 0 stellen
"FirewallOverride"=dword:00000001 -> auf 0 stellen

«««
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl\SafeBoot

minimal.xxx -> minimal
rechtsklick auf diesen Schlusessel und umbenennen in: minimal

network.xxx -> network
rechtsklick auf diesen Schlusessel und umbenennen in: network

»»
HKEY_CURRENT_USER\Software

suche loesche :

"Denese"
"PortNo"
"Kurban"
"Password"

»»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vssms32 -> loeschen


PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2006, 02:30
ShOrTypWnZ
...neu hier

Themenstarter

Beiträge: 5
#5 huhu ....

So ... die 3 Sachen wurden erfolgreich gelöscht .... nu habe ich das Problem, das ich die Systemwiederherstellung nicht deaktivieren kann ...

"Beim Aktivieren bzw. Deaktivieren der Laufwerke wurde ein Fehler ermittelt. Starten Sie den Computer neu, und wiederholen Sie den Vorgang"


Nach nem Neustart funktioniert es auch nicht ;)
Aber was mir aufgefallen ist, der Systemwiederherstellungs dienst ist garnicht gestartet bzw. läuft nicht

-----------------
Habe jetzt erstmal soweit alles durchgeführt wie du geschrieben hast .... BESTEN DANK schonmal ...

Dr.Web scannt noch ... poste danach den Bericht hier !

MfG

-----------------

Das hier spuckt mir Dr.Web aus:

A0043209.exe;D:\System Volume Information\_restore{4DEB28D3-4F8C-4D79-9E83-D78BB354012C}\RP156;Tool.ASEye.2;;
A0043381.exe;D:\System Volume Information\_restore{4DEB28D3-4F8C-4D79-9E83-D78BB354012C}\RP156;Tool.ASEye.2;;
A0043392.exe;D:\System Volume Information\_restore{4DEB28D3-4F8C-4D79-9E83-D78BB354012C}\RP156;Tool.ASEye.2;;
Dieser Beitrag wurde am 18.09.2006 um 04:10 Uhr von ShOrTypWnZ editiert.
Seitenanfang Seitenende
18.09.2006, 09:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr
Start REG_DWOED 0X00000000(0)

den Schlüssel "Start" (REG_WORD) von "4" auf "0" setzten und neu booten...
Dann sollte sie wieder laufen, die Systemwiederherstellung

««
Um die Diensteverwaltung explizit aufzurufen, gebe ein unter
Start - Ausführen: services.msc
Nun werden alle laufenden Dienste angezeigt.

Systemwiederherstellungsdienst -> ueberpruefe, ob der Dienst gestartet ist
Startarten: Manuell, automatisch, deaktiviert
Standard-Einstellung: Automatisch
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2006, 07:22
ShOrTypWnZ
...neu hier

Themenstarter

Beiträge: 5
#7 Huhu Sabina ....

Sorry für die späte Antwort, mein Internet ging net mehr ;)


So habe folgendes Problem .... bei mir in den Diensten steht NIX von "Systemwiederherstellungsdienst"

hm ich habe keine Ahnung .... irgendwie alles komisch hier ...
MfG
Seitenanfang Seitenende
20.09.2006, 12:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nach so einem schweren befall ist es besser, wenn du dein System neu aufsetzt.
Ich weiss auch nicht, ob du die Aenderungen in der Registry korrekt vorgenommen hast oder nicht.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2006, 15:24
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#9 Hi,

eventuell die SR neu installieren...
Hast Du SP1 oder SP2 auf dem Rechner?
Falls Du auf SP2 upgedatet hast und Deine Windows-CD SP1 hat,
kann/geht das ins Auge (gehen)...
(Nur machen, wenn die Servicepack's gleich sind (Rechner und CD!)
Auf jeden Fall vorher eine Backup machen, dann folgendes probieren:
(Erfolgswahrscheinlichkeit: 50% :o| )
Chris

----------------------------------
Im Windows-Ordner gibt es einen Ordner inf.
Such darin mal die Datei sr.inf
Rechtsklick drauf und installieren anwählen.

Wahrscheinlich wird Windows dann nach der Installations-CD fragen.
Pfad evtl. anpassen, auf CD den Ordner i386 auswählen, Datei sr.sy_ wird zusehen sein.

Windows installiert dann die Systemwiederherstellung (SystemRestore) und zugehörige Dateien von CD neu.
---------------------------------
Seitenanfang Seitenende
20.09.2006, 18:45
ShOrTypWnZ
...neu hier

Themenstarter

Beiträge: 5
#10 Huhu ....

@Chris , habe SP2 auf meinem rechner ....

Was mich nur wundert, in der Registry und sonst nirgendso ist mehr was zu finden von dem Virus ...

Aber meint ihr System neumachen ist angebracht ??
hm ...... muss ich dann alle Partitionen neu machen ????


Gruß
Seitenanfang Seitenende
20.09.2006, 23:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Im Windows-Ordner gibt es einen Ordner inf.
Such darin mal die Datei sr.inf
Rechtsklick drauf und installieren anwählen.
Wahrscheinlich wird Windows dann nach der Installations-CD fragen.
Pfad evtl. anpassen, auf CD den Ordner i386 auswählen, Datei sr.sy_ wird zusehen sein.

Windows installiert dann die Systemwiederherstellung (SystemRestore) und zugehörige Dateien von CD neu.

wenn das nicht klappt:
es reicht c:\ platt zu machen, poste dann das neue Log vom HijackThis, wenn es fertig ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.05.2007, 14:01
Aire
...neu hier

Beiträge: 4
#12 Hallo allerseits,

bei mir tauchte das gleiche Problem auch auf.
Nun geh ich mal davon aus, könnte ich den gleichen Vorgang übernehmen?!

Habe jetzt nur den Combofix-Code.
Nützt der hier auch etwas?

*absoluter computer-noob*
Seitenanfang Seitenende
30.05.2007, 15:30
raman
Moderator

Beiträge: 7805
#13 Was fuer ein Problem hast du genau? Infos wie Hijackthis und combofix Report wuerden schon helfen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.05.2007, 17:58
Aire
...neu hier

Beiträge: 4
#14 AntiVir hat mich heute auf den Cakl.A.2 hingewiesen, also dann mal los.

Der Code:

"Anne Kathrin" - 2007-05-30 17:47:28 Service Pack 2
ComboFix 07-05.27.V - Running from: "C:\Dokumente und Einstellungen\Anne Kathrin\Desktop\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-30 ))))))))))))))))))))))))))))))))))


2007-05-30 13:21 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-05-30 10:12 8,704 --a------ C:\WINDOWS\system32\ntswrl32.VIR
2007-05-22 21:30 18,944 --a------ C:\WINDOWS\system32\wk32.dll
2007-05-22 21:30 1,716,992 ---hs---- C:\WINDOWS\system32\vssms32.exe
2007-04-26 18:05 <DIR> d-------- C:\Programme\Neopets
2007-04-13 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\ANNEKA~1\Contacts
2007-04-13 00:04 <DIR> d-------- C:\DOKUME~1\ANNEKA~1\Contacts
2007-04-13 00:01 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-04-12 13:09 <DIR> d-------- C:\Programme\Last.fm


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-11 17:34:50 -------- d-----w C:\Programme\Microsoft Games
2007-04-26 16:05:52 -------- d-----w C:\DOKUME~1\ANNEKA~1\ANWEND~1\Neopets Toolbar
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 19:56:40 -------- d-----w C:\DOKUME~1\ANNEKA~1\ANWEND~1\MSN6
2007-04-12 22:02:15 -------- d-----w C:\Programme\MSN Messenger
2007-03-31 23:12:53 -------- d-----w C:\Programme\ICQLite
2007-03-25 15:13:00 64,452 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 15:13:00 392,512 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-10 12:00:01 118,784 ----a-w C:\WINDOWS\system32\BastaYa.exe
2007-03-10 11:59:59 36,864 ----a-w C:\WINDOWS\system32\wbhlgwpt.exe
2007-03-10 11:59:57 421,888 ----a-w C:\WINDOWS\system32\asclobvm.dll
2007-03-09 14:42:13 8,456 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-03-09 14:37:20 88 --sh--r C:\WINDOWS\system32\6ED9678940.sys
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2006-02-09 20:06:43 104 --sh--r C:\WINDOWS\system32\408967D96E.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{0B6899B6-1564-43e0-BD93-F7CF930A5E5C}=C:\WINDOWS\system32\nsc25F.dll [2006-10-13 12:21]
{4865F155-CE00-4E93-A414-147844D7C81A}=C:\WINDOWS\system32\tcbltwsg.dll [2006-10-10 13:29]
{59F4F380-01A0-4083-9FA4-E3B827319F7E}=C:\WINDOWS\system32\vcbhdhyc.dll [2006-09-05 23:36]
{746455FE-D059-47e7-AF0E-140E03F5A447}=C:\WINDOWS\system32\nsg4.dll [2006-11-03 04:36]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{BD51AEC6-7991-4A60-94D6-D5FEBB655D10}=C:\WINDOWS\system32\IEMsg.dll [1998-06-18 08:00]
{C07F60AC-688D-4F3E-89EC-30B281BDD2CC}=C:\WINDOWS\system32\asclobvm.dll [2007-03-10 13:59]
{CD292324-974F-4224-D074-CACA427AA030}=C:\Programme\Neopets\Toolbar\Toolbar.dll [2007-01-09 00:28]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-08-12 22:10]
"TBLFUNC"="tblmouse.exe" [2004-03-08 13:12 C:\WINDOWS\system32\tblmouse.exe]
"PSDrvCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-02-23 18:55]
"atwtusb"="atwtusb.exe" [2004-05-03 16:03 C:\WINDOWS\system32\atwtusb.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 21:57]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 18:36]
"vssms32"="C:\WINDOWS\system32\vssms32.exe" [2007-05-01 20:32]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCleaner"="C:\Programme\CCleaner\CCleaner.exe" [2006-07-06 09:26]
"ItalU"="C:\WINDOWS\system32\italfds.exe" [2006-09-05 23:36]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"LifeCU"="C:\WINDOWS\system32\BastaYa.exe" [2007-03-10 14:00]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages scecli scecli

[color=red]SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\adstart]
iexplore.exe http://iesettingsupdate

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cFos - Tip of the Day]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cFosDNT]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
C:\PROGRA~1\ICQ\ICQNet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"C:\Programme\Winamp\Winampa.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"STI Simulator"=2 (0x2)


Contents of the 'Scheduled Tasks' folder
2007-05-20 18:42:02 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-30 17:50:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-30 17:52:20
C:\ComboFix-quarantined-files.txt ... 2007-05-30 17:52
C:\ComboFix2.txt ... 2007-05-30 17:42
C:\ComboFix3.txt ... 2007-05-30 13:21

--- E O F ---


Ich hoffe, ihr werdet daraus schlau / du wirst daraus schlau o0.
Seitenanfang Seitenende
30.05.2007, 18:06
raman
Moderator

Beiträge: 7805
#15 Poste bitte noch ein Hijackthis Report
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12