Bin leider auch ein Virus-Burst-Geschädigter :(

#1 Soo jezz sind alle 4 Logs enhalten hoffe jmd kann mir helfen ich geh kaputt an diesem virus burster

Vielen Dank im Vorraus.

CleanUp! started on 09/18/06 23:20:04.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NZ9JN1WG\index[1].htm currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NZ9JN1WG\index[1].htm currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006091820060919\index.dat currently in use. Will be deleted when Windows is restarted.
'Typed URLs' (Internet Explorer) - removed from the registry.
C:\Dokumente und Einstellungen\Simon Schneider\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Mozilla\Firefox\Profiles\h4bfkc67.default\history.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Mozilla\Firefox\Profiles\h4bfkc67.default\cookies.txt.old - deleted
C:\Dokumente und Einstellungen\Simon Schneider\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
'Run MRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 0 bytes of disk space from 1080352768 files.
CleanUp! finished on 09/18/06 23:20:04.


Logfile of HijackThis v1.99.1
Scan saved at 23:21:04, on 18.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\strCodec\pmsngr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\strCodec\pmmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Network\ipnetwork.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Simon Schneider\Eigene Dateien\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {580837DB-C816-AB0E-24B8-89A46A7C4F94} - C:\DOKUME~1\SIMONS~1\ANWEND~1\INFOAX~1\Anti Okay.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winsysban] C:\\winsysban11.exe
O4 - HKLM\..\Run: [IpNetwork] C:\Programme\Network\ipnetwork.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [keyboard] c:\\keyboard21.exe
O4 - HKLM\..\Run: [newname] c:\\newname21.exe
O4 - HKLM\..\Run: [defender] C:\\defender21.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [scr body sixth site] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funk Does Scr Body\Memo media.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [CurbPart] C:\DOKUME~1\SIMONS~1\ANWEND~1\CHINRO~1\fragglue.exe
O4 - HKCU\..\Run: [algchk.exe] C:\WINDOWS\system32\algchk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48CF892D-64EF-4F3F-959B-6C9F626135F9}: NameServer = 192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{48CF892D-64EF-4F3F-959B-6C9F626135F9}: NameServer = 192.168.0.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{48CF892D-64EF-4F3F-959B-6C9F626135F9}: NameServer = 192.168.0.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\system32

19.09.2006 09:33 2.206 wpa.dbl
18.09.2006 21:58 176.128 syycum.dll
11.09.2006 19:37 8.960.936 MRT.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
20.07.2006 12:33 376.626 perfh009.dat
20.07.2006 12:33 52.424 perfc009.dat
20.07.2006 12:33 386.948 perfh007.dat
20.07.2006 12:33 63.188 perfc007.dat
20.07.2006 12:33 889.304 PerfStringBackup.INI


Simon Schneider - 06-09-19 9:30:54.56 Service Pack 2
ComboFix 06.09.14 - Running from: C:\Dokumente und Einstellungen\Simon Schneider\Desktop

((((((((((((((((((((((((((((((((((((((((((((( Qoologic's Log )))))))))))))))))))))))))))))))))))))))))))))))))))


* * * POST-RUN - Files in the Quarantine folder * * * * * * * * * * * * * * * * * * * * * * * * *



DO NOT DELETE ANY FILES FROM THIS DIRECTORY UNLESS INSTRUCTED TO


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\teller2.chk
C:\Programme\network\ipnetwork.exe
C:\Programme\Inetget2
C:\Programme\snowball wars


((((((((((((((((((((((((((((((( Files Created from 2006-08-18 to 2006-09-18 ))))))))))))))))))))))))))))))))))


2006-09-18 21:58 176,128 --a------ C:\WINDOWS\system32\syycum.dll
2006-09-18 21:53 22,528 --a------ C:\WINDOWS\system32\WNASPI32.DLL


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-19 09:20 13440 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-09-19 09:20 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-18 23:23 -------- d-------- C:\Programme\Network
2006-09-18 23:19 -------- d-------- C:\Programme\CleanUp!
2006-09-18 22:50 -------- d-------- C:\Programme\strCodec
2006-09-18 22:46 60416 --a------ C:\WINDOWS\system32\drivers\egmno^wr.sys
2006-09-18 18:50 -------- d-------- C:\Programme\ICQToolbar
2006-09-14 20:16 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-10 18:47 -------- d-------- C:\Programme\ICQLite
2006-09-08 21:29 -------- d-------- C:\Programme\Winamp
2006-09-02 18:39 -------- d-------- C:\Programme\eMule
2006-08-30 12:48 -------- d-------- C:\Programme\SFT Loader
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-15 14:56 -------- d-------- C:\Programme\Internet Explorer
2006-08-02 13:33 -------- d-------- C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\ICQLite
2006-08-02 13:32 -------- d-------- C:\Programme\Miranda IM
2006-08-02 00:02 -------- d-------- C:\Programme\FlashFXP
2006-08-01 23:09 -------- d-------- C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\FlashFXP
2006-08-01 19:13 72748 --a------ C:\WINDOWS\unins000.exe
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AOLMIcon"="C:\\WINDOWS\\AOLMIcon.exe"
"CurbPart"="C:\\DOKUME~1\\SIMONS~1\\ANWEND~1\\CHINRO~1\\fragglue.exe"
"algchk.exe"="C:\\WINDOWS\\system32\\algchk.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Dit"="Dit.exe"
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"scr body sixth site"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Funk Does Scr Body\\Memo media.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"New.net Startup"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~2.DLL,ClientStartup -s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktopChanges"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoThemesTab"=dword:00000000
"NoViewContextMenu"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"pmsngr.exe"="C:\\Programme\\strCodec\\pmsngr.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"hemadynamometer"="{6076d2b1-634c-4685-843b-f826045ea5dc}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NetPumper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NetPumperIEProxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\NetPumper\\NetPumperIEProxy.exe\""
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\ABBE8484910D3954.job

Completion time: 19.09.2006 9:34:52.90
ComboFix.txt
ComboFix2.txt
ComboFix3.txt

#2 Sommilas

1.
schreibe, welche dll du findest:
LSPfix
http://www.spychecker.com/program/lspfix.html

2.
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

3.
Kopiere die 3 Textdateien ab, die fehlen - und zwar drei monate, die Dateien von 2004 interessieren nicht .
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 1.
mswsock.dll
winrnr.dll
newdotnet7_22.dll
rsvpsp.dll



2.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten

28.04.2006 12:11 <DIR> Adobe
04.02.2004 03:52 <DIR> AdobeUM
25.03.2006 16:37 <DIR> Ahead
22.05.2006 15:15 <DIR> APPLEC~1 Apple Computer
15.06.2006 15:56 <DIR> CHINRO~1 Chin Roam Bone
30.12.2005 01:19 <DIR> CYBERL~1 CyberLink
01.08.2006 23:09 <DIR> FlashFXP
22.06.2006 14:45 <DIR> FROSTW~1 FrostWire
04.02.2004 02:13 <DIR> Help
02.08.2006 13:33 <DIR> ICQLite
03.02.2004 20:34 <DIR> IDENTI~1 Identities
18.06.2006 12:55 <DIR> INFOAX~1 Info axis list
26.03.2006 15:46 <DIR> Lavasoft
04.02.2004 09:48 <DIR> MACROM~1 Macromedia
29.12.2005 23:17 <DIR> Mozilla
30.03.2006 21:29 <DIR> NETPUM~1 NetPumper
26.01.2006 23:09 <DIR> Real
18.03.2006 17:38 <DIR> Sun
02.06.2006 23:38 <DIR> vlc
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 57.696.944.128 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

26.03.2006 14:19 305 ADDR_F~1.HTM addr_file.html
25.03.2006 21:59 <DIR> Adobe
29.12.2005 23:54 <DIR> Ahead
18.09.2006 16:32 <DIR> ANTIVI~1 AntiVir PersonalEdition classic
22.05.2006 15:14 <DIR> APPLEC~1 Apple Computer
29.12.2005 23:39 <DIR> CYBERL~1 CyberLink
15.06.2006 15:56 <DIR> FUNKDO~1 Funk Does Scr Body
22.05.2006 15:14 1.755 QTSBAN~1 QTSBandwidthCache
03.02.2004 20:37 <DIR> SBSI
27.02.2006 19:35 <DIR> Symantec
14.05.2006 15:45 <DIR> Trymedia
19.09.2006 09:23 <DIR> WINDOW~1 Windows Genuine Advantage
2 Datei(en) 2.060 Bytes
10 Verzeichnis(se), 57.696.944.128 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\tasks

19.09.2006 14:00 294 ABBE8484910D3954.job
29.08.2002 14:00 65 desktop.ini
19.09.2006 13:51 6 SA.DAT
3 Datei(en) 365 Bytes
0 Verzeichnis(se), 57.696.944.128 Bytes frei


3.

Verzeichnis von C:\WINDOWS\system32

19.09.2006 14:03 2.206 wpa.dbl
18.09.2006 21:58 176.128 syycum.dll
11.09.2006 19:37 8.960.936 MRT.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
20.07.2006 12:33 376.626 perfh009.dat
20.07.2006 12:33 52.424 perfc009.dat
20.07.2006 12:33 386.948 perfh007.dat
20.07.2006 12:33 63.188 perfc007.dat
20.07.2006 12:33 889.304 PerfStringBackup.INI
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 17:50 57.384 avsda.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll



Verzeichnis von C:\DOKUME~1\SIMONS~1\LOKALE~1\Temp

19.09.2006 14:03 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}16948.html
19.09.2006 14:03 16.384 ~DF264E.tmp
19.09.2006 14:03 512 ~DF68B.tmp
19.09.2006 14:03 16.384 ~DF59F.tmp
19.09.2006 09:44 206 jusched.log
5 Datei(en) 34.469 Bytes
0 Verzeichnis(se), 57.696.866.304 Bytes frei


Verzeichnis von C:\WINDOWS

19.09.2006 13:52 0 0.log
19.09.2006 13:51 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
19.09.2006 13:51 1.192.383 WindowsUpdate.log
19.09.2006 13:51 2.048 bootstat.dat
19.09.2006 09:49 32.632 SchedLgU.Txt
19.09.2006 09:24 8.291 WgaNotify.log
19.09.2006 09:23 768.992 setupapi.log
18.09.2006 22:51 227 system.ini
16.09.2006 23:20 50 wiaservc.log
16.09.2006 23:20 216 wiadebug.log
14.09.2006 20:01 301.256 tsoc.log
14.09.2006 20:01 136.474 ntdtcsetup.log
14.09.2006 20:01 224.827 comsetup.log
14.09.2006 20:01 29.331 ocmsn.log
14.09.2006 20:01 1.374 imsins.log
14.09.2006 20:01 119.812 iis6.log
14.09.2006 20:01 13.425 KB920685.log
14.09.2006 20:01 38.846 msgsocm.log
14.09.2006 20:01 397.821 ocgen.log
14.09.2006 20:01 781.487 FaxSetup.log
14.09.2006 20:01 1.374 imsins.BAK
14.09.2006 20:01 15.143 KB920872.log
14.09.2006 20:01 13.592 KB919007.log
14.09.2006 20:01 9.984 KB922582.log
14.09.2006 20:01 41.444 updspapi.log
11.09.2006 23:14 339.605 wmsetup.log
28.08.2006 21:30 135 NeroDigital.ini
27.08.2006 18:56 499.444 ntbtlog.txt
15.08.2006 14:57 17.572 KB920214.log
15.08.2006 14:57 17.877 KB922616.log
15.08.2006 14:57 17.457 KB921398.log
15.08.2006 14:56 20.612 KB918899.log
15.08.2006 14:56 12.718 KB920670.log
15.08.2006 14:56 12.059 KB917422.log
15.08.2006 14:56 12.357 KB920683.log
09.08.2006 14:55 11.809 KB921883.log
01.08.2006 19:13 663 unins000.dat
01.08.2006 19:13 72.748 unins000.exe
27.07.2006 22:39 669 win.ini
12.07.2006 23:24 11.833 KB917159.log
12.07.2006 23:24 12.351 KB914388.log
12.07.2006 23:24 10.343 KB916595.log
10.07.2006 14:00 74 sysInf.dat
16.06.2006 14:44 36.010 spupdsvc.log
16.06.2006 14:41 13.593 KB917734.log
16.06.2006 14:41 15.232 KB918439.log
16.06.2006 14:40 15.912 KB917344.log
16.06.2006 14:40 14.875 KB917953.log
16.06.2006 14:40 17.779 KB911280.log
16.06.2006 14:40 21.428 KB916281.log
16.06.2006 14:40 17.752 KB914389.log

#4 1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\AOLMIcon.exe
C:\WINDOWS\system32\algchk.exe

poste die reporte

_______________________________________________________________

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "sheriff.reg" auf dem Desktop doppelklicken.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoActiveDesktopChanges"=-
"ClassicShell"=-
"ForceActiveDesktopOn"=-
"NoActiveDesktop"=-
"NoSaveSettings"=-
"NoThemesTab"=-
"NoViewContextMenu"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

1.
LSPfix
- hake an: "I know what Im doing"--Remove
- und loesche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen)

2.
mediacodec.zip laden
http://virus-protect.org/zip/mediacodec.zip
entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\New.net
HKEY_CURRENT_USER\Software\New.net
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NetPumper

Files to delete:
C:\WINDOWS\system32\drivers\egmno^wr.sys
C:\WINDOWS\system32\algchk.exe
C:\WINDOWS\system32\syycum.dll
C:\WINDOWS\System32\sporder.dll
C:\WINDOWS\tasks\ABBE8484910D3954.job

Folders to delete:
C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Chin Roam Bone
C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Info axis list
C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funk Does Scr Body
C:\Programme\NetPumper
C:\Programme\strCodec
C:\Programme\VirusBurst
C:\Programme\Virus-Burst

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste den report vom avenger, nach dem neustart

**
scanne mit smitfraud fix - Option 1 und 2
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


-----------------------------------------------------------------

Zitat

Complete scanning result of "algchk.exe", received in VirusTotal at 05.23.2006, 16:44:01 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.23.2006 no virus found
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.23.2006 no virus found
AVG 386 05.22.2006 no virus found
BitDefender 7.2 05.23.2006 no virus found
CAT-QuickHeal 8.00 05.23.2006 no virus found
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.23.2006 no virus found
eTrust-InoculateIT 23.72.15 05.23.2006 no virus found
eTrust-Vet 12.4.2224 05.23.2006 no virus found
Ewido 3.5 05.23.2006 no virus found
Fortinet 2.77.0.0 05.23.2006 no virus found
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.23.2006 no virus found
Kaspersky 4.0.2.24 05.23.2006 Backdoor.Win32.VB.ate
McAfee 4767 05.22.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1553 05.22.2006 probably unknown NewHeur_PE virus
Norman 5.90.17 05.23.2006 no virus found
Panda 9.0.0.4 05.23.2006 Suspicious file
Sophos 4.05.0 05.23.2006 no virus found
Symantec 8.0 05.23.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 no virus found
UNA 1.83 05.23.2006 no virus found
VBA32 3.11.0 05.22.2006 no virus found

__________
MfG Sabina

rund um die PC-Sicherheit

#5 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Software\New.net


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dmyxymcw

*******************

Script file located at: \??\C:\WINDOWS\hkqwcyhq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\drivers\egmno^wr.sys deleted successfully.


File C:\WINDOWS\system32\algchk.exe not found!
Deletion of file C:\WINDOWS\system32\algchk.exe failed!

Could not process line:
C:\WINDOWS\system32\algchk.exe
Status: 0xc0000034

File C:\WINDOWS\system32\syycum.dll deleted successfully.
File C:\WINDOWS\System32\sporder.dll deleted successfully.
File C:\WINDOWS\tasks\ABBE8484910D3954.job deleted successfully.
Folder C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Chin Roam Bone deleted successfully.
Folder C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\NetPumper deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funk Does Scr Body deleted successfully.
Folder C:\Programme\NetPumper deleted successfully.
Folder C:\Programme\strCodec deleted successfully.


Folder C:\Programme\VirusBurst not found!
Deletion of folder C:\Programme\VirusBurst failed!

Could not process line:
C:\Programme\VirusBurst
Status: 0xc0000034



Folder C:\Programme\Virus-Burst not found!
Deletion of folder C:\Programme\Virus-Burst failed!

Could not process line:
C:\Programme\Virus-Burst
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\New.net deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NetPumper deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#6 Hallo Sabina,

habe ebenfalls das Virus Burst-Problem, bin leider nicht fit in diesen Dingen, habe aber versucht, die von Dir angegebenen Posts zu erfüllen, anbei meine Hijackthis-Logfile bzw. 3 Monate Logfiles von datfind.bat. Combofix habe ich auch probiert, der bringt mir aber nach dem Start mit "Y" die Meldung: Performing a scan of your machine
Error: Die erweiterten Attribute sind inkonsistent.

Was kann ich jetzt noch tun?

Habe übrigens Deine Anweisungen aus einem ähnlichen thread befolgt, konnte auch sämtliche Dateien und Teile in der regestry löschen, allerdings die "ixt0.dll" in der Windows/System32 jedoch nicht, die war angeblich in Benutzung.

Im Voraus vielen Dank für Deine Hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 16:16:56, on 19.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\shxuiiac.exe
C:\WINDOWS\System32\ismini.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MSWin.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Dokumente und Einstellungen\René\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F3 - REG:win.ini: run=
O2 - BHO: LIQUIObj Class - {00000000-663f-49e8-bdf6-f26db51c7dd5} - C:\WINDOWS\liqui.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [shxuiiac] C:\WINDOWS\System32\shxuiiac.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [shxuiiac] C:\WINDOWS\System32\shxuiiac.exe
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MSWin.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) -
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.mp3-projekt.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C0422AE-920A-458A-9DC5-56C017B84CF3}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{77D4689A-1889-4624-8C32-524E6A2DA484}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{979AD49E-0622-430A-9DC8-F35B0F4A3BD4}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6392203-AD9E-4E80-ACC1-348AD1F94F28}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{C92C998F-7BA1-4B05-BE0B-6A36BA259AAE}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD78F9F4-FDEA-49E8-A3EC-0FC4B550F1F1}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAE1B187-031F-4BCA-93F8-31533FC4B620}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C0422AE-920A-458A-9DC5-56C017B84CF3}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O21 - SSODL: IEFilter - {B87AEBDE-169F-474B-9A0A-58343BA623FE} - C:\WINDOWS\system32\IEFilter.dll
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\WINDOWS\system32

19.09.2006 16:29 0 filter.drv
19.09.2006 16:12 1.038 mxsuaaaa.exe
19.09.2006 16:12 1.038 sdooaaaa.exe
19.09.2006 16:12 1.038 gpwttyqy.exe
19.09.2006 16:12 1.038 sdycaaaa.exe
19.09.2006 16:12 1.038 gpbpaaaa.exe
19.09.2006 16:11 18.432 ixt0.dll
19.09.2006 16:11 4.608 ismini.exe
19.09.2006 15:12 1.038 sdsaaaaa.exe
19.09.2006 15:12 1.038 dnyqeaaa.exe
19.09.2006 15:12 1.038 sdolbaaa.exe
19.09.2006 15:12 1.038 jkwijaaa.exe
19.09.2006 15:12 1.038 pefobaaa.exe
19.09.2006 14:40 1.038 jkqvaaaa.exe
19.09.2006 14:40 1.038 vuikjgcf.exe
19.09.2006 14:40 1.038 jkweppnu.exe
19.09.2006 14:40 1.038 pekgnwls.exe
19.09.2006 14:40 1.038 gpixaaaa.exe
18.09.2006 20:50 1.038 mfjcaaaa.exe
18.09.2006 20:50 1.038 mfcompjv.exe
18.09.2006 20:50 1.038 vcroxryr.exe
18.09.2006 20:50 1.038 alrpwcxa.exe
18.09.2006 20:50 1.038 plaaaaaa.exe
18.09.2006 19:52 1.038 pehebxch.exe
18.09.2006 19:52 1.038 mxeudcif.exe
18.09.2006 19:52 1.038 sdgkwibi.exe
18.09.2006 19:51 1.038 dnffitda.exe
18.09.2006 19:51 1.038 jkicukax.exe
18.09.2006 19:29 1.038 drxskeep.exe
18.09.2006 19:29 1.038 gtvaaaaa.exe
18.09.2006 19:29 1.038 vyvikimi.exe
18.09.2006 19:29 1.038 piimjxmd.exe
18.09.2006 19:29 1.038 jkaoaaaa.exe
18.09.2006 16:55 1.038 gtedhaaa.exe
18.09.2006 16:55 1.038 pieqaaaa.exe
18.09.2006 16:55 1.038 joimqven.exe
18.09.2006 16:55 1.038 joysjicu.exe
18.09.2006 16:55 1.038 vyvaaaaa.exe
18.09.2006 15:10 1.038 peebaaaa.exe
18.09.2006 15:10 1.038 aenvmrla.exe
18.09.2006 15:10 1.038 mxxdcaaa.exe
18.09.2006 15:10 1.038 vudaaaaa.exe
18.09.2006 15:10 1.038 peajguai.exe
18.09.2006 05:23 29.184 issearch.exe
18.09.2006 05:21 32.272 ishost.exe
18.09.2006 01:18 155.648 {34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll
18.09.2006 00:47 1.038 peoljups.exe
18.09.2006 00:47 1.038 peblitsw.exe
18.09.2006 00:47 1.038 aembnaaa.exe
18.09.2006 00:47 1.038 vuhvypfc.exe
15.09.2006 19:06 1.038 pigfffhg.exe
15.09.2006 19:06 1.038 mcolyeya.exe
15.09.2006 19:06 1.038 pisyfafq.exe
15.09.2006 19:06 1.038 vypeikql.exe
15.09.2006 19:06 1.038 drjthaaa.exe
15.09.2006 15:10 1.038 aesdjjqc.exe
15.09.2006 15:10 1.038 gpawyyti.exe
15.09.2006 15:10 1.038 dnouqmuk.exe
15.09.2006 15:10 1.038 sdqdwdix.exe
15.09.2006 15:10 1.038 aelcbaaa.exe
15.09.2006 15:07 1.158 wpa.dbl
13.09.2006 20:05 1.038 mcmaaaaa.exe
13.09.2006 20:05 13.824 shxuiiac.exe
13.09.2006 20:05 1.038 vynxyaaa.exe
13.09.2006 07:46 1.038 awapaaaa.exe
20.08.2006 19:41 17.878 vcmgcd32.dl_
12.08.2006 04:26 61 svcp.csv
12.08.2006 04:26 4 winsub.xml
23.05.2006 13:48 313.254 perfh009.dat
23.05.2006 13:48 40.780 perfc009.dat
23.05.2006 13:48 49.148 perfc007.dat
23.05.2006 13:48 318.454 perfh007.dat
23.05.2006 13:48 729.182 PerfStringBackup.INI

#7 Bolloman


dein Rechner ist schwer verseucht und die Internetverbindung wird auf einen Server in die ukraine umgeleitet, ich brauche mehr infos von deinem System !

1.
datfindbat hat vier logs, schau mal auf der seite, da wird es erklaert - ich brauche alle 4
http://virus-protect.org/datfindbat.html

2.
poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren)

{B87AEBDE-169F-474B-9A0A-58343BA623FE}
{08BEC6AA-49FC-4379-3587-4B21E286C19E}
{00000000-663f-49e8-bdf6-f26db51c7dd5}
{052b12f7-86fa-4921-8482-26c42316b522}


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

4.
scanne und poste das log
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallo Sabina,

vielen Dank für Deine schnelle Antwort. Werde Deine Anweisungen durchführen und Dir die Informationen dann übermitteln. Zur Zeit habe ich gerade einen Komplett-Check von Antivir laufen (der Gute löscht sich den Wolf: bei 75 % Untersuchungsfortschritt bereits 425 Meldungen).

War in der Vergangenheit wohl etwas blauäugig: seit 8 Jahren im Internet und noch nie ein Virenprogramm benutzt. Rechner hat immer funktioniert, möchte gar nicht wissen, was da im Hintergrund alles abgelaufen ist. Bin dann jetzt wohl an der Reihe, meine Lektion zu lernen.

Hoffe ich bekomme das mit Deiner Hilfe auf die Reihe. Für die Unterstützung jedenfalls schon mal ein dickes Dankeschön!

Entschuldige die dümmliche Frage (hab wie gesagt keinen Schimmer, wie ein Forum funktioniert): Bist Du eigentlich immer da, wieso hast Du es so drauf, ist das (D)ein Job bei Protecus?

Melde mich, sobald ich die logs habe.

Dankbare Grüße

Bolloman

#9 Poste auch den antivir report dann

#10 Hallo Sabina,

Habe mit Unterstützung meines Sohnes alle Untersuchungen abgearbeitet, hier die Ergebnisse:

Noch ein Hinweis: Die allererste Unregelmäßigkeit beim Starten des Rechners ist ein Fenster "Windows - Fehlender Datenträger im Laufwerk Device/Harddisk II".

Verschwindet erst nach 4maligem Schließen bzw. Button "Abbrechen", auch im Task-Manager 4maliges "Task beenden" notwendig, danach fährt erst der Rechner abschließend hoch (Icons auf Desktop etc.)

Hoffe, Du kannst meinem Gestammel etwas Nützliches entnehmen bzw. die Logs helfen Dir.

Abermals vielen Dank!

Freundliche Grüße vom

Bolloman

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von c:\

06-09-19 20:56 0 dirdat.txt
06-09-19 20:55 112 system32.txt
06-09-19 20:42 536,399,872 hiberfil.sys
06-09-19 20:42 402,653,184 pagefile.sys
06-09-19 16:39 128 ComboFix.txt
06-09-19 16:36 128 ComboFix2.txt
06-09-19 16:35 128 ComboFix3.txt
06-09-19 16:11 3,108 avenger.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\WINDOWS\system32

06-09-19 20:54 0 filter.drv
06-09-19 20:45 18,432 ixt0.dll
06-09-19 17:57 0 Service.exe
06-09-19 17:31 315,764 perfh009.dat
06-09-19 17:31 42,050 perfc009.dat
06-09-19 17:31 50,728 perfc007.dat
06-09-19 17:31 321,382 perfh007.dat
06-09-19 17:31 735,332 PerfStringBackup.INI
06-09-18 05:23 29,184 issearch.exe
06-09-18 01:18 424,718 {C210CF1C-237C-47C7-AF38-A87FC0AB1B9C}.exe
06-09-18 01:18 5,214 {151C029C-1AD1-4E21-8256-9A3A9F93EFEE}.exe
06-09-18 01:18 45,568 {C46867D7-4B61-47CF-AFD0-DC5C69C7606F}.exe
06-09-18 01:18 4,608 {8E97B868-3FAA-4B7D-9B97-D96CF9B8D75D}.exe
06-09-18 01:18 155,648 {34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll
06-09-18 01:18 3,117 {0DD398A7-0E37-483F-9B97-57A719943620}.exe
06-09-18 01:18 61,955 {90A435B6-6D97-44F2-89A3-0DD17F89F04A}.exe
06-09-18 01:18 51,223 csmhp.exe
06-09-15 15:07 1,158 wpa.dbl
06-09-13 20:05 13,824 shxuiiac.exe
06-08-12 04:26 61 svcp.csv
06-08-12 04:26 4 winsub.xml
06-06-02 11:04 57,384 avsda.dll
06-03-18 21:51 34,064 lhacm.acm

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\WINDOWS

06-09-19 20:44 0 0.log
06-09-19 20:44 159 wiadebug.log
06-09-19 20:44 3,880 ModemLog_V9X HAM 1394V.txt
06-09-19 20:44 50 wiaservc.log
06-09-19 20:42 2,048 bootstat.dat
06-09-19 20:41 32,544 SchedLgU.Txt
06-09-19 17:56 202,136 setupapi.log
06-09-19 17:32 19,537 iis6.log
06-09-19 17:32 53,861 comsetup.log
06-09-19 17:32 35,683 ntdtcsetup.log
06-09-19 17:32 73,056 tsoc.log
06-09-19 17:32 4,566 imsins.log
06-09-19 17:32 112,334 ocgen.log
06-09-19 17:32 7,870 ocmsn.log
06-09-19 17:32 7,924 msgsocm.log
06-09-19 17:32 159,319 FaxSetup.log
06-09-19 15:31 213,660 setupact.log
06-09-19 14:42 4,578 rdt.ini
06-09-18 01:18 6,400 balloon.wav
06-09-18 00:50 81,726 wmsetup.log
06-08-21 04:09 1,501 IE4 Error Log.txt
06-08-21 03:59 346 system.ini
06-08-03 20:11 4,096 d3dx.dat
06-08-03 20:08 77,840 DirectX.log
06-07-30 18:28 103,532 War3Unin.dat
06-05-23 12:19 1,071 AWMODEM.INF
06-05-21 13:04 54,156 QTFont.qfn
06-05-21 13:04 1,409 QTFont.for
06-04-01 03:17 487 Capictrl.INI
06-02-24 06:14 796 stwin05.ini
06-02-24 06:13 810 d2hnav.ini
06-02-11 18:14 133,142 Windows Update.log
06-01-02 23:02 538 WINPHONE.INI

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: A062-6B94

Verzeichnis von C:\DOKUME~1\REN~1\LOKALE~1\Temp

06-09-19 20:48 0 tmp9.tmp
06-09-19 20:48 0 tmp8.tmp
06-09-19 20:45 16,384 Perflib_Perfdata_140.dat
06-09-19 20:28 0 tmp7.tmp
06-09-19 20:28 0 tmp6.tmp
06-09-19 19:42 0 tmp5.tmp
06-09-19 19:42 0 tmp3.tmp
06-09-19 18:57 0 tmp4.tmp
06-09-19 17:58 16,384 Perflib_Perfdata_88c.dat
06-09-19 17:57 0 Des2.tmp
06-09-19 16:39 100,569 bt1442.bat
06-09-19 16:35 100,569 bt3720.bat
06-08-05 21:49 36,864 CmdLineExt02.dll
13 Datei(en) 270,770 Bytes
0 Verzeichnis(se), 17,238,183,936 Bytes frei



09/19/06 21:15:05 [Info]: BlackLight Engine 1.0.46 initialized
09/19/06 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 1)
09/19/06 21:15:05 [Note]: 7019 4
09/19/06 21:15:05 [Note]: 7005 0
09/19/06 21:15:11 [Note]: 7006 0
09/19/06 21:15:11 [Note]: 7011 1400
09/19/06 21:15:11 [Note]: 7026 0
09/19/06 21:15:11 [Note]: 7026 0
09/19/06 21:15:11 [Note]: 7024 3
09/19/06 21:15:11 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe
09/19/06 21:15:11 [Note]: FSRAW library version 1.7.1019
09/19/06 21:18:08 [Info]: Hidden file: c:\WINDOWS\system32\ntio256.sys
09/19/06 21:18:08 [Note]: 7002 2
09/19/06 21:18:08 [Note]: 7003 1
09/19/06 21:18:08 [Note]: 10002 1
09/19/06 21:18:10 [Info]: Hidden file: C:\WINDOWS\system32\protector.exe
09/19/06 21:18:10 [Note]: 7002 2
09/19/06 21:18:10 [Note]: 7003 1
09/19/06 21:18:10 [Note]: 10002 1
09/19/06 21:18:15 [Info]: Hidden file: c:\WINDOWS\system32\csmhp.exe
09/19/06 21:18:15 [Note]: 7002 32
09/19/06 21:18:15 [Note]: 7003 1
09/19/06 21:18:15 [Note]: 10002 1
09/19/06 21:18:20 [Info]: Hidden file: c:\WINDOWS\system32\{8E97B868-3FAA-4B7D-9B97-D96CF9B8D75D}.exe
09/19/06 21:18:20 [Note]: 10002 1
09/19/06 21:18:20 [Info]: Hidden file: c:\WINDOWS\system32\{C210CF1C-237C-47C7-AF38-A87FC0AB1B9C}.exe
09/19/06 21:18:20 [Note]: 10002 1
09/19/06 21:18:21 [Info]: Hidden file: c:\WINDOWS\system32\{C46867D7-4B61-47CF-AFD0-DC5C69C7606F}.exe
09/19/06 21:18:21 [Note]: 10002 1
09/19/06 21:26:09 [Note]: 7006 0
09/19/06 21:26:09 [Note]: 7011 1400
09/19/06 21:26:09 [Note]: 7026 0
09/19/06 21:26:10 [Note]: 7026 0
09/19/06 21:26:10 [Note]: 7024 3
09/19/06 21:26:10 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe
09/19/06 21:26:10 [Note]: FSRAW library version 1.7.1019
09/19/06 21:26:12 [Note]: 7002 2
09/19/06 21:26:12 [Note]: 7003 1
09/19/06 21:26:25 [Note]: 7007 0



Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B725CA3451EA-9EC9-7504-86AB-B1F99B75{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A40F98F71DD0-3A98-2F44-79D6-6B534A09{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}026349917A75-79B9-F384-73E0-7A893DD0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D57D8B9FC69D-79B9-D7B4-AAF3-868B79E8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F6067C96C5CD-0DFA-FC74-16B4-7D76864C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EEFE39F9A3A9-6528-12E4-1DA1-C920C151{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9B1BA0CF78A-83FA-7C74-C732-C1FC012C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 06-09-19 21:54:45 for strings:
; '{b87aebde-169f-474b-9a0a-58343ba623fe}'
; '{08bec6aa-49fc-4379-3587-4b21e286c19e}'
; '{00000000-663f-49e8-bdf6-f26db51c7dd5}'
; '{052b12f7-86fa-4921-8482-26c42316b522}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\Implemented Categories\{00021493-0000-0000-C000-000000000046}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B87AEBDE-169F-474B-9A0A-58343BA623FE}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B87AEBDE-169F-474B-9A0A-58343BA623FE}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LIQUI.LIQUIObj\CLSID]
@="{00000000-663f-49e8-bdf6-f26db51c7dd5}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-663f-49e8-bdf6-f26db51c7dd5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-663f-49e8-bdf6-f26db51c7dd5}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
; Contents of value:
;
"{052b12f7-86fa-4921-8482-26c42316b522}"=hex:00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-663f-49e8-bdf6-f26db51c7dd5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"IEFilter"="{B87AEBDE-169F-474B-9A0A-58343BA623FE}"

[HKEY_USERS\S-1-5-21-1434109735-1774555873-3433309461-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
; Contents of value:
; ÷+ú†!i„‚&Ä#µ"
"{052B12F7-86FA-4921-8482-26C42316B522}"=hex:f7,12,2b,05,fa,86,21,49,84,82,26,\
c4,23,16,b5,22

; End Of The Log...

#11 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoBandCustomize"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LIQUI.LIQUIObj]

[-HKEY_USERS\S-1-5-21-1434109735-1774555873-3433309461-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"IEFilter"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{052b12f7-86fa-4921-8482-26c42316b522}"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-663f-49e8-bdf6-f26db51c7dd5}]

1.1.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten.
doppelklick: blbeta.exe
nach dem Check klicke -- next

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B87AEBDE-169F-474B-9A0A-58343BA623FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-663f-49e8-bdf6-f26db51c7dd5}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ENUM\ROOT\LEGACY_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\ENUM\ROOT\LEGACY_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_SERVICE

Files to delete:
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MSWin.exe
C:\WINDOWS\system32\MSWin.exe
C:\WINDOWS\system32\protector.exe
c:\WINDOWS\system32\ntio256.sys
c:\WINDOWS\system32\csmhp.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
C:\WINDOWS\system32\filter.drv
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\Service.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\System32\MSIEHelper.dll
C:\WINDOWS\system32\{C210CF1C-237C-47C7-AF38-A87FC0AB1B9C}.exe
C:\WINDOWS\system32\{151C029C-1AD1-4E21-8256-9A3A9F93EFEE}.exe
C:\WINDOWS\system32\{C46867D7-4B61-47CF-AFD0-DC5C69C7606F}.exe
C:\WINDOWS\system32\{8E97B868-3FAA-4B7D-9B97-D96CF9B8D75D}.exe
C:\WINDOWS\system32\{34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll
C:\WINDOWS\system32\{0DD398A7-0E37-483F-9B97-57A719943620}.exe
C:\WINDOWS\system32\{90A435B6-6D97-44F2-89A3-0DD17F89F04A}.exe
C:\WINDOWS\system32\csmhp.exe
C:\WINDOWS\system32\shxuiiac.exe
C:\WINDOWS\System32\yaemu.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\IEFilter.dll
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\tmp9.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\tmp8.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\tmp7.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\tmp6.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\tmp5.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\tmp3.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\tmp4.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\Des2.tmp
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\bt1442.bat
C:\Dokumente und Einstellungen\René\Lokale Einstellungen\Temp\bt3720.bat

Folders to delete:
C:\Programme\Safety Bar
C:\Programme\Network

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint


**
scanne mit smitfraudfix (option 1 und 2 ) und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
scanne mit Combofix und poste den report
http://virus-protect.org/artikel/tools/combofix.html

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: LIQUIObj Class - {00000000-663f-49e8-bdf6-f26db51c7dd5} - C:\WINDOWS\liqui.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)

O4 - HKLM\..\Run: [winsysban] C:\\winsysban11.exe
O4 - HKLM\..\Run: [IpNetwork] C:\Programme\Network\ipnetwork.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [shxuiiac] C:\WINDOWS\System32\shxuiiac.exe
O4 - HKCU\..\Run: [shxuiiac] C:\WINDOWS\System32\shxuiiac.exe

O4 - Global Startup: MSWin.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C0422AE-920A-458A-9DC5-56C017B84CF3}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{77D4689A-1889-4624-8C32-524E6A2DA484}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{979AD49E-0622-430A-9DC8-F35B0F4A3BD4}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6392203-AD9E-4E80-ACC1-348AD1F94F28}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{C92C998F-7BA1-4B05-BE0B-6A36BA259AAE}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD78F9F4-FDEA-49E8-A3EC-0FC4B550F1F1}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAE1B187-031F-4BCA-93F8-31533FC4B620}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C0422AE-920A-458A-9DC5-56C017B84CF3}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170

O21 - SSODL: IEFilter - {B87AEBDE-169F-474B-9A0A-58343BA623FE} - C:\WINDOWS\system32\IEFilter.dll

Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

1. Click Start > Control Panel
2. Double-click Network Connections.
85.255.115.42 85.255.112.170 - muss raus !!

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

**
+ poste das neue Log vom HijackThis

-------------------------------------------------
*****
Registry Search by Bobbi Flekman
in: "Enter search strings" (reinschreiben oder reinkopieren)

ntio256.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.



««
http://virus-protect.org/artikel/dienste/service.html
http://virus-protect.org/artikel/spyware/searchtoolbar_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo,

war beruflich ein paar Tage unterwegs, hier nun die Logs.

Vorab zwei Anmerkungen:

1. Mit folgender Anweisung konnte ich leider nichts anfangen, könntest Du bitte ausführlicher beschreiben, was ich tun muss - Danke!

"Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

1. Click Start > Control Panel
2. Double-click Network Connections.
85.255.115.42 85.255.112.170 - muss raus !!"

2. Habe den F-Secure-online scanner 3x durchlaufen lassen, findet auch 9 Viren bzw. 60 Trojaner und überspringt 3 Dateien, beim cleaning bringt er aber jedesmal folgende Fehlermeldung:

"An error has occured! Please close the scanner and your browser, then try again. (Id: 10)"

Hier nun aber die Logs, die ich erstellen konnte:

C:\avenger\1.reg



C:\avenger\11.reg



C:\avenger\12.reg



C:\avenger\2.reg



C:\avenger\3.reg



C:\avenger\4.reg



C:\avenger\5.reg



C:\avenger\7.reg



C:\avenger\8.reg



C:\avenger\9.reg


C:\avenger\backup.zip
1 Datei(en) kopiert.
zip warning: C:/backup.zip not found or empty
adding: avenger/avenger.txt (188 bytes security) (deflated 89%)
adding: avenger/backup.reg (188 bytes security) (deflated 84%)
adding: avenger/bt1442.bat (140 bytes security) (deflated 77%)
adding: avenger/bt3720.bat (140 bytes security) (deflated 77%)
adding: avenger/Des2.tmp (140 bytes security) (stored 0%)
adding: avenger/filter.drv (188 bytes security) (stored 0%)
adding: avenger/IEFilter.dll (188 bytes security) (deflated 45%)
adding: avenger/MSIEHelper.dll (188 bytes security) (deflated 55%)
adding: avenger/MSWin.exe (196 bytes security) (deflated 13%)
adding: avenger/qttask.exe (188 bytes security) (deflated 65%)
adding: avenger/Service.exe (188 bytes security) (stored 0%)
adding: avenger/shxuiiac.exe (188 bytes security) (deflated 17%)
adding: avenger/svcp.csv (188 bytes security) (stored 0%)
adding: avenger/tmp3.tmp (140 bytes security) (stored 0%)
adding: avenger/tmp4.tmp (140 bytes security) (stored 0%)
adding: avenger/tmp5.tmp (140 bytes security) (stored 0%)
adding: avenger/tmp6.tmp (140 bytes security) (stored 0%)
adding: avenger/tmp7.tmp (140 bytes security) (stored 0%)
adding: avenger/tmp8.tmp (140 bytes security) (stored 0%)
adding: avenger/tmp9.tmp (140 bytes security) (stored 0%)
adding: avenger/winsub.xml (188 bytes security) (stored 0%)
adding: avenger/{C210CF1C-237C-47C7-AF38-A87FC0AB1B9C}.exe (188 bytes security
) (deflated 3%)
adding: avenger/{C46867D7-4B61-47CF-AFD0-DC5C69C7606F}.exe (188 bytes security
) (deflated 7%)


SmitFraudFix v2.99

Scan done at 7:47:33.89, 06-09-24
Run from C:\Dokumente und Einstellungen\Ren‚\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\components\flx?.dll FOUND !
C:\WINDOWS\system32\components\flx??.dll FOUND !
C:\WINDOWS\system32\components\flx???.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Ren‚\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\REN~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


SmitFraudFix v2.99

Scan done at 7:52:33.25, 06-09-24
Run from C:\Dokumente und Einstellungen\Ren‚\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\components\flx?.dll Deleted
C:\WINDOWS\system32\components\flx??.dll Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Ren‚ - 06-09-24 8:01:44.03 Service Pack 1
ComboFix 06.09.23.2 - Running from: "C:\Dokumente und Einstellungen\Ren‚\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-08-19 to 2006-09-19 ))))))))))))))))))))))))))))))))))


2006-09-24 07:56 0 --a------ C:\backup.reg
2006-09-24 07:37 126,976 --a------ C:\zip.exe
2006-09-24 07:37 1,318 --a------ C:\avexport.bat
2006-09-24 07:37 1,080 --a------ C:\pjupgjnb.bat
2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\peoljups.exe
2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\pekgnwls.exe
2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\jkehcaaa.exe
2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\aenraaaa.exe
2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\aekvhdet.exe
2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\mxagsser.exe
2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\jkjujaaa.exe
2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\jkfyaunx.exe
2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\gpisujje.exe
2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\gpftaaaa.exe
2006-09-19 17:00 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-09-13 20:05 17,920 --a------ C:\WINDOWS\system32\ntio256.sys.ren
2006-09-13 20:05 15,360 --a------ C:\WINDOWS\system32\protector.exe.ren


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-24 07:37 60416 --a------ C:\WINDOWS\system32\drivers\tuaesldy.sys
2006-09-19 17:52 -------- d-------- C:\Programme\Windows Media Player
2006-09-19 17:51 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-08-27 11:55 -------- d-------- C:\Programme\World of Warcraft


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AOLMIcon"="C:\\Programme\\Gemeinsame Dateien\\AOLSHARE\\AOLMIcon.exe"
"shxuiiac"="C:\\WINDOWS\\System32\\shxuiiac.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"NeroCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"Microsoft Works Portfolio"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers"
"Microsoft Works Update Detection"="C:\\Programme\\Microsoft Works\\WkDetect.exe"
"C-Media Mixer"="Mixer.exe /startup"
"QuickTime Task"="C:\\WINDOWS\\System32\\qttask.exe"
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"nwiz"="nwiz.exe /install"
"Corel Reminder"=""
"shxuiiac"="C:\\WINDOWS\\System32\\shxuiiac.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"hrnkcmlu"="C:\\pjupgjnb.bat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"IEFilter"="{645DC457-72D4-4201-8C20-F669767C0E06}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 06-09-24 8:03:23.42
ComboFix.txt
ComboFix2.txt
ComboFix3.txt



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 06-09-24 11:02:17 for strings:
; 'ntio256.sys'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntio256]
; Contents of value:
; \??\c:\windows\system32\ntio256.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\
6d,33,32,5c,6e,74,69,6f,32,35,36,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntio256]
; Contents of value:
; \??\c:\windows\system32\ntio256.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\
6d,33,32,5c,6e,74,69,6f,32,35,36,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntio256]
; Contents of value:
; \??\c:\windows\system32\ntio256.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\
6d,33,32,5c,6e,74,69,6f,32,35,36,2e,73,79,73,00

; End Of The Log...



Hoffe, diese Infos helfen weiter, bin langsam wirklich ziemlich verzweifelt.

Für die Hilfe natürlich wieder vielen Dank!

#13 Bolloman

1.
Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - IEFilter

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"IEFilter"="{645DC457-72D4-4201-8C20-F669767C0E06}" -> loeschen

bearbeiten - suchen - shxuiiac

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"shxuiiac" -> loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"shxuiiac" -> loeschen

--------------------------------------------------------------------
2.
Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntio256
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntio256
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntio256

Files to delete:
C:\pjupgjnb.bat
C:\WINDOWS\system32\drivers\tuaesldy.sys
C:\WINDOWS\System32\shxuiiac.exe
C:\WINDOWS\system32\peoljups.exe
C:\WINDOWS\system32\pekgnwls.exe
C:\WINDOWS\system32\jkehcaaa.exe
C:\WINDOWS\system32\aenraaaa.exe
C:\WINDOWS\system32\aekvhdet.exe
C:\WINDOWS\system32\mxagsser.exe
C:\WINDOWS\system32\jkjujaaa.exe
C:\WINDOWS\system32\jkfyaunx.exe
C:\WINDOWS\system32\gpisujje.exe
C:\WINDOWS\system32\gpftaaaa.exe
C:\WINDOWS\system32\ntio256.sys.ren
C:\WINDOWS\system32\protector.exe.ren

poste den scanreport vom Avenger nach neustart, dann poste noch mal die 4 logs von datfindbat, blacklight, noch mal combofix und noch mal das log vom hijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Auch ich habe das selbe Problem, kann mir bitte wer helfen ?

Logfile of HijackThis v1.99.1
Scan saved at 14:55:00, on 22.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\Windows Defender\MsMpEng.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
I:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Programme\MetaTrader Data Center\mtdcsrv.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
I:\WINDOWS\system32\BRMFRSMG.EXE
I:\WINDOWS\Explorer.EXE
I:\Programme\MPVIDEOCODEC\pmsngr.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
I:\WINDOWS\Dit.exe
I:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
I:\Programme\G DATA PowerPDF\Xpmail.exe
I:\Programme\MPVIDEOCODEC\pmmon.exe
I:\Programme\Java\jre1.5.0_06\bin\jusched.exe
I:\Programme\Browser MOUSE\mouse32a.exe
I:\Programme\Winamp\winampa.exe
I:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
I:\Programme\Microsoft IntelliType Pro\type32.exe
I:\Programme\Microsoft IntelliPoint\point32.exe
I:\WINDOWS\System32\rundll32.exe
I:\Programme\Windows Defender\MSASCui.exe
I:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
I:\WINDOWS\system32\ctfmon.exe
I:\WINDOWS\DitExp.exe
I:\Programme\Unimessage Pro\WilCap.exe
I:\Programme\Messenger\MSMSGS.EXE
I:\Programme\Skype\Phone\Skype.exe
I:\Programme\PhraseExpress\phraseexpress.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Dokumente und Einstellungen\Hermann Ruetz\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - I:\Programme\MPVIDEOCODEC\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] I:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [VOBRegCheck] I:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PrintPackDispatcher] "I:\Programme\G DATA PowerPDF\Xpmail.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] I:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [WinampAgent] I:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CaISSDT] "I:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [CaAvTray] "I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [type32] "I:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "I:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Windows Defender] "I:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [TrueImageMonitor.exe] I:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WilSpoolProxy] I:\Programme\Unimessage Pro\WilCap.exe
O4 - HKCU\..\Run: [MSMSGS] "I:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: PhraseExpress.lnk = I:\Programme\PhraseExpress\phraseexpress.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: equestre - {70305bc2-b289-4209-a344-be21f22bc930} - I:\WINDOWS\system32\zphnok.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: MetaTrader Data Center (mtdcsrv) - Unknown owner - I:\Programme\MetaTrader Data Center\mtdcsrv.exe" /start (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe



Hermann Ruetz - 06-09-24 10:56:36,27 Service Pack 2
ComboFix 06.09.23.2 - Running from: "I:\Dokumente und Einstellungen\Hermann Ruetz\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-08-24 to 2006-09-24 ))))))))))))))))))))))))))))))))))


2006-09-22 09:18 1,060,864 --a------ I:\WINDOWS\system32\mfc71.dll
2006-09-22 08:58 176,128 --a------ I:\WINDOWS\system32\zphnok.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-24 10:54 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Skype
2006-09-22 15:32 -------- d-------- I:\Programme\MPVIDEOCODEC
2006-09-22 15:28 -------- d-------- I:\Programme\Microsoft Works
2006-09-22 14:35 -------- d-------- I:\Programme\Fixer Antispy
2006-09-22 14:06 -------- d-------- I:\Programme\Gemeinsame Dateien
2006-09-22 13:04 -------- d-------- I:\Programme\Lavasoft
2006-09-22 13:04 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Lavasoft
2006-09-22 09:25 91344 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\errorsafefreeinstall_de[1].exe
2006-09-22 09:11 -------- d-------- I:\Programme\Spy-Heal
2006-09-22 09:03 -------- d-------- I:\Programme\vb
2006-09-21 15:39 -------- d-------- I:\Programme\Picobello2000
2006-09-18 08:59 -------- d-------- I:\Programme\VTtrader
2006-09-10 11:11 -------- d-------- I:\Programme\PC-KUECHE
2006-09-02 19:03 38500 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
2006-09-02 19:01 38490 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Microsoft Excel.ADR
2006-09-02 18:59 38494 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Kommagetrennte Werte (DOS).ADR
2006-09-02 15:20 -------- d-------- I:\Programme\Mobile Action
2006-08-28 10:52 -------- d-------- I:\Programme\Gervdb
2006-08-21 14:26 16896 --a------ I:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ I:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- I:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-16 20:50 -------- d-------- I:\Programme\PhraseExpress
2006-08-13 13:40 -------- d-------- I:\Programme\MetaTrader 4
2006-08-13 13:39 -------- d-------- I:\Programme\gotomaxx
2006-08-13 13:36 -------- d--h----- I:\Programme\InstallShield Installation Information
2006-08-13 13:36 -------- d-------- I:\Programme\Fibotrader
2006-08-13 01:48 -------- d-------- I:\Programme\Internet Explorer
2006-08-09 14:08 -------- d-------- I:\Programme\Unimessage Pro
2006-08-04 18:48 -------- d-------- I:\Programme\ABBYY FineReader 7.0 Professional Edition
2006-08-04 18:13 -------- d-------- I:\Programme\ABBYY FineReader 8.0 Professional Edition
2006-08-04 14:21 -------- d---s---- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Microsoft
2006-08-01 14:46 73216 --a------ I:\WINDOWS\ST6UNST.EXE
2006-08-01 14:46 249856 --------- I:\WINDOWS\Setup1.exe
2006-08-01 14:23 -------- d-------- I:\Programme\Google
2006-08-01 14:23 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Google
2006-08-01 08:39 26787 --a------ I:\WINDOWS\system32\drivers\vetmonnt.sys
2006-07-30 11:06 1027072 --a------ I:\WINDOWS\system32\AutoPartNt.exe
2006-07-29 14:17 96320 --a------ I:\WINDOWS\system32\drivers\snapman.sys
2006-07-29 14:17 30688 --a------ I:\WINDOWS\system32\drivers\tifsfilt.sys
2006-07-29 14:17 249152 --a------ I:\WINDOWS\system32\drivers\timntr.sys
2006-07-29 14:17 -------- d-------- I:\Programme\Gemeinsame Dateien\Acronis
2006-07-29 14:17 -------- d-------- I:\Programme\Acronis
2006-07-28 17:48 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\MobileAction
2006-07-27 16:41 -------- d-------- I:\Programme\V80-V600 Bluetooth-Handset Manager
2006-07-27 15:25 679424 --a------ I:\WINDOWS\system32\inetcomm.dll
2006-07-25 15:09 -------- d-------- I:\Programme\PhraseExpress SE
2006-07-21 10:29 72704 --------- I:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\\WINDOWS\\system32\\ctfmon.exe"
"WilSpoolProxy"="I:\\Programme\\Unimessage Pro\\WilCap.exe"
"MSMSGS"="\"I:\\Programme\\Messenger\\MSMSGS.EXE\" /background"
"Skype"="\"I:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="I:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Dit"="Dit.exe"
"PCMService"="I:\\Programme\\Medion Home CinemaXL\\PowerCinema\\PCMService.exe"
"VOBRegCheck"="I:\\WINDOWS\\System32\\VOBREGCheck.exe -CheckReg"
"PrintPackDispatcher"="\"I:\\Programme\\G DATA PowerPDF\\Xpmail.exe\""
"NeroFilterCheck"="I:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="I:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"FLMOFFICE4DMOUSE"="I:\\Programme\\Browser MOUSE\\mouse32a.exe"
"WinampAgent"="I:\\Programme\\Winamp\\winampa.exe"
"CaISSDT"="\"I:\\Programme\\CA\\eTrust Internet Security Suite\\caissdt.exe\""
"CaAvTray"="\"I:\\Programme\\CA\\eTrust Internet Security Suite\\eTrust EZ Antivirus\\CAVTray.exe\""
"CAVRID"="\"I:\\Programme\\CA\\eTrust Internet Security Suite\\eTrust EZ Antivirus\\CAVRID.exe\""
"type32"="\"I:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"IntelliPoint"="\"I:\\Programme\\Microsoft IntelliPoint\\point32.exe\""
"Windows Defender"="\"I:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"TrueImageMonitor.exe"="I:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe"
"Acronis Scheduler2 Service"="\"I:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"pmsngr.exe"="I:\\Programme\\MPVIDEOCODEC\\pmsngr.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"equestre"="{70305bc2-b289-4209-a344-be21f22bc930}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
I:\WINDOWS\tasks\MP Scheduled Scan.job

Completion time: 24.09.2006 10:58:09.40
ComboFix.txt

#15 Ruetz Herman

0.
mediacodec.zip laden
http://virus-protect.org/zip/mediacodec.zip
entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen


1.
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - zphnok

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"equestre"="{70305bc2-b289-4209-a344-be21f22bc930}" -> loeschen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\ErrorSafe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96E6B1C3-B5D0-89CC-4909-92D85A48B1A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0EBCA7C4-AA97-4B47-99D7-4932A73E9198}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{16640BA0-193C-4BD5-882B-F92D6EF82156}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2A041B9C-44AC-47FF-9399-CB8AEEF1CFE8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4DFFBEAB-DB11-4602-A3E8-0454ED3F928B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{57DD6CFE-ABDB-46C2-92EB-316A5F499167}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{690D2910-BFD6-47D3-A96C-13E6BA2935E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8407F578-6FA7-446A-8852-53E6A147472E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{85A126D1-2706-443D-9979-8841A1C5B482}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B11E589E-9A82-40EF-9777-8E13553F83D4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C2E39865-E9E9-462F-87CB-9A09CEB4795F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E12E00DE-9BE2-486C-A9F1-19730F93807E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EBDD9FB9-3A6C-4DA2-B0A9-D117528D4040}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ED33F056-D246-4FF2-8D2A-D9F3938753BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EFC68768-18B9-4930-9643-F6DD7AA60A71}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F5EC0F1E-A3EB-49EA-BD87-989899B6E1C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FEB6CDEC-70F6-4D2B-BCA4-1AB3BCDCC513}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A48995B0-2BB5-4246-B0EA-55B2FFCF9129}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyHeal.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHeal
HKEY_LOCAL_MACHINE\SOFTWARE\SpyHeal
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70305bc2-b289-4209-a344-be21f22bc930}

Files to delete:
I:\WINDOWS\system32\zphnok.dll
I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\errorsafefreeinstall_de[1].exe

Folders to delete:
I:\Programme\Error Safe
I:\Programme\MPVIDEOCODEC
I:\Programme\Spy-Heal
I:\Programme\vb

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom Avenger, was nach neustart erscheint


**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - I:\Programme\MPVIDEOCODEC\isaddon.dll (file missing)
O21 - SSODL: equestre - {70305bc2-b289-4209-a344-be21f22bc930} - I:\WINDOWS\system32\zphnok.dll

**
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
loesche das backup vom Avenger unter I:\Avenger\backup.zip
__________
MfG Sabina

rund um die PC-Sicherheit