Bin leider auch ein Virus-Burst-Geschädigter :(Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
18.09.2006, 23:42
...neu hier
Beiträge: 3 |
||
|
||
19.09.2006, 11:38
Ehrenmitglied
Beiträge: 29434 |
#2
Sommilas
1. schreibe, welche dll du findest: LSPfix http://www.spychecker.com/program/lspfix.html 2. look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip 3. Kopiere die 3 Textdateien ab, die fehlen - und zwar drei monate, die Dateien von 2004 interessieren nicht . http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2006, 14:15
...neu hier
Themenstarter Beiträge: 3 |
#3
1.
mswsock.dll winrnr.dll newdotnet7_22.dll rsvpsp.dll 2. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten 28.04.2006 12:11 <DIR> Adobe 04.02.2004 03:52 <DIR> AdobeUM 25.03.2006 16:37 <DIR> Ahead 22.05.2006 15:15 <DIR> APPLEC~1 Apple Computer 15.06.2006 15:56 <DIR> CHINRO~1 Chin Roam Bone 30.12.2005 01:19 <DIR> CYBERL~1 CyberLink 01.08.2006 23:09 <DIR> FlashFXP 22.06.2006 14:45 <DIR> FROSTW~1 FrostWire 04.02.2004 02:13 <DIR> Help 02.08.2006 13:33 <DIR> ICQLite 03.02.2004 20:34 <DIR> IDENTI~1 Identities 18.06.2006 12:55 <DIR> INFOAX~1 Info axis list 26.03.2006 15:46 <DIR> Lavasoft 04.02.2004 09:48 <DIR> MACROM~1 Macromedia 29.12.2005 23:17 <DIR> Mozilla 30.03.2006 21:29 <DIR> NETPUM~1 NetPumper 26.01.2006 23:09 <DIR> Real 18.03.2006 17:38 <DIR> Sun 02.06.2006 23:38 <DIR> vlc 0 Datei(en) 0 Bytes 19 Verzeichnis(se), 57.696.944.128 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 26.03.2006 14:19 305 ADDR_F~1.HTM addr_file.html 25.03.2006 21:59 <DIR> Adobe 29.12.2005 23:54 <DIR> Ahead 18.09.2006 16:32 <DIR> ANTIVI~1 AntiVir PersonalEdition classic 22.05.2006 15:14 <DIR> APPLEC~1 Apple Computer 29.12.2005 23:39 <DIR> CYBERL~1 CyberLink 15.06.2006 15:56 <DIR> FUNKDO~1 Funk Does Scr Body 22.05.2006 15:14 1.755 QTSBAN~1 QTSBandwidthCache 03.02.2004 20:37 <DIR> SBSI 27.02.2006 19:35 <DIR> Symantec 14.05.2006 15:45 <DIR> Trymedia 19.09.2006 09:23 <DIR> WINDOW~1 Windows Genuine Advantage 2 Datei(en) 2.060 Bytes 10 Verzeichnis(se), 57.696.944.128 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 2496-AFED Verzeichnis von C:\WINDOWS\tasks 19.09.2006 14:00 294 ABBE8484910D3954.job 29.08.2002 14:00 65 desktop.ini 19.09.2006 13:51 6 SA.DAT 3 Datei(en) 365 Bytes 0 Verzeichnis(se), 57.696.944.128 Bytes frei 3. Verzeichnis von C:\WINDOWS\system32 19.09.2006 14:03 2.206 wpa.dbl 18.09.2006 21:58 176.128 syycum.dll 11.09.2006 19:37 8.960.936 MRT.exe 21.08.2006 14:26 16.896 fltlib.dll 21.08.2006 11:14 23.040 fltmc.exe 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 20.07.2006 12:33 376.626 perfh009.dat 20.07.2006 12:33 52.424 perfc009.dat 20.07.2006 12:33 386.948 perfh007.dat 20.07.2006 12:33 63.188 perfc007.dat 20.07.2006 12:33 889.304 PerfStringBackup.INI 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx 13.07.2006 15:34 8.494.592 shell32.dll 05.07.2006 12:55 1.057.792 kernel32.dll 26.06.2006 19:40 148.480 dnsapi.dll 26.06.2006 19:40 8.192 rasadhlp.dll 23.06.2006 13:10 664.576 wininet.dll 23.06.2006 13:10 146.432 msrating.dll 23.06.2006 13:10 1.494.016 shdocvw.dll 23.06.2006 13:10 39.424 pngfilt.dll 23.06.2006 13:10 474.624 shlwapi.dll 23.06.2006 13:10 532.480 mstime.dll 23.06.2006 13:10 448.512 mshtmled.dll 23.06.2006 13:10 1.056.256 danim.dll 23.06.2006 13:10 55.808 extmgr.dll 23.06.2006 13:10 16.384 jsproxy.dll 23.06.2006 13:10 205.312 dxtrans.dll 23.06.2006 13:10 152.064 cdfview.dll 23.06.2006 13:10 251.392 iepeers.dll 23.06.2006 13:10 1.022.976 browseui.dll 23.06.2006 13:10 96.768 inseng.dll 23.06.2006 13:10 357.888 dxtmsft.dll 23.06.2006 10:53 27.136 xpsp3res.dll 22.06.2006 07:06 1.441.792 query.dll 22.06.2006 07:06 69.120 ciodm.dll 19.06.2006 16:20 702.768 WgaLogon.dll 19.06.2006 16:19 571.184 LegitCheckControl.dll 19.06.2006 16:19 304.944 WgaTray.exe 16.06.2006 17:50 57.384 avsda.dll 01.06.2006 20:47 163.840 jgdw400.dll 01.06.2006 20:47 27.648 jgpl400.dll Verzeichnis von C:\DOKUME~1\SIMONS~1\LOKALE~1\Temp 19.09.2006 14:03 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}16948.html 19.09.2006 14:03 16.384 ~DF264E.tmp 19.09.2006 14:03 512 ~DF68B.tmp 19.09.2006 14:03 16.384 ~DF59F.tmp 19.09.2006 09:44 206 jusched.log 5 Datei(en) 34.469 Bytes 0 Verzeichnis(se), 57.696.866.304 Bytes frei Verzeichnis von C:\WINDOWS 19.09.2006 13:52 0 0.log 19.09.2006 13:51 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt 19.09.2006 13:51 1.192.383 WindowsUpdate.log 19.09.2006 13:51 2.048 bootstat.dat 19.09.2006 09:49 32.632 SchedLgU.Txt 19.09.2006 09:24 8.291 WgaNotify.log 19.09.2006 09:23 768.992 setupapi.log 18.09.2006 22:51 227 system.ini 16.09.2006 23:20 50 wiaservc.log 16.09.2006 23:20 216 wiadebug.log 14.09.2006 20:01 301.256 tsoc.log 14.09.2006 20:01 136.474 ntdtcsetup.log 14.09.2006 20:01 224.827 comsetup.log 14.09.2006 20:01 29.331 ocmsn.log 14.09.2006 20:01 1.374 imsins.log 14.09.2006 20:01 119.812 iis6.log 14.09.2006 20:01 13.425 KB920685.log 14.09.2006 20:01 38.846 msgsocm.log 14.09.2006 20:01 397.821 ocgen.log 14.09.2006 20:01 781.487 FaxSetup.log 14.09.2006 20:01 1.374 imsins.BAK 14.09.2006 20:01 15.143 KB920872.log 14.09.2006 20:01 13.592 KB919007.log 14.09.2006 20:01 9.984 KB922582.log 14.09.2006 20:01 41.444 updspapi.log 11.09.2006 23:14 339.605 wmsetup.log 28.08.2006 21:30 135 NeroDigital.ini 27.08.2006 18:56 499.444 ntbtlog.txt 15.08.2006 14:57 17.572 KB920214.log 15.08.2006 14:57 17.877 KB922616.log 15.08.2006 14:57 17.457 KB921398.log 15.08.2006 14:56 20.612 KB918899.log 15.08.2006 14:56 12.718 KB920670.log 15.08.2006 14:56 12.059 KB917422.log 15.08.2006 14:56 12.357 KB920683.log 09.08.2006 14:55 11.809 KB921883.log 01.08.2006 19:13 663 unins000.dat 01.08.2006 19:13 72.748 unins000.exe 27.07.2006 22:39 669 win.ini 12.07.2006 23:24 11.833 KB917159.log 12.07.2006 23:24 12.351 KB914388.log 12.07.2006 23:24 10.343 KB916595.log 10.07.2006 14:00 74 sysInf.dat 16.06.2006 14:44 36.010 spupdsvc.log 16.06.2006 14:41 13.593 KB917734.log 16.06.2006 14:41 15.232 KB918439.log 16.06.2006 14:40 15.912 KB917344.log 16.06.2006 14:40 14.875 KB917953.log 16.06.2006 14:40 17.779 KB911280.log 16.06.2006 14:40 21.428 KB916281.log 16.06.2006 14:40 17.752 KB914389.log |
|
|
||
19.09.2006, 14:53
Ehrenmitglied
Beiträge: 29434 |
#4
1.
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\AOLMIcon.exe C:\WINDOWS\system32\algchk.exe poste die reporte _______________________________________________________________ 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "sheriff.reg" auf dem Desktop doppelklicken. Zitat REGEDIT41. LSPfix - hake an: "I know what Im doing"--Remove - und loesche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen) 2. mediacodec.zip laden http://virus-protect.org/zip/mediacodec.zip entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste den report vom avenger, nach dem neustart ** scanne mit smitfraud fix - Option 1 und 2 http://virus-protect.org/artikel/tools/smitfrautfix.html ** Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" ----------------------------------------------------------------- Zitat Complete scanning result of "algchk.exe", received in VirusTotal at 05.23.2006, 16:44:01 (CET). __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2006, 15:28
...neu hier
Themenstarter Beiträge: 3 |
#5
//////////////////////////////////////////
Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 1813 Line: HKEY_CURRENT_USER\Software\New.net ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\dmyxymcw ******************* Script file located at: \??\C:\WINDOWS\hkqwcyhq.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\drivers\egmno^wr.sys deleted successfully. File C:\WINDOWS\system32\algchk.exe not found! Deletion of file C:\WINDOWS\system32\algchk.exe failed! Could not process line: C:\WINDOWS\system32\algchk.exe Status: 0xc0000034 File C:\WINDOWS\system32\syycum.dll deleted successfully. File C:\WINDOWS\System32\sporder.dll deleted successfully. File C:\WINDOWS\tasks\ABBE8484910D3954.job deleted successfully. Folder C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Chin Roam Bone deleted successfully. Folder C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\NetPumper deleted successfully. Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funk Does Scr Body deleted successfully. Folder C:\Programme\NetPumper deleted successfully. Folder C:\Programme\strCodec deleted successfully. Folder C:\Programme\VirusBurst not found! Deletion of folder C:\Programme\VirusBurst failed! Could not process line: C:\Programme\VirusBurst Status: 0xc0000034 Folder C:\Programme\Virus-Burst not found! Deletion of folder C:\Programme\Virus-Burst failed! Could not process line: C:\Programme\Virus-Burst Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc} deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\New.net deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NetPumper deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
19.09.2006, 16:43
...neu hier
Beiträge: 9 |
#6
Hallo Sabina,
habe ebenfalls das Virus Burst-Problem, bin leider nicht fit in diesen Dingen, habe aber versucht, die von Dir angegebenen Posts zu erfüllen, anbei meine Hijackthis-Logfile bzw. 3 Monate Logfiles von datfind.bat. Combofix habe ich auch probiert, der bringt mir aber nach dem Start mit "Y" die Meldung: Performing a scan of your machine Error: Die erweiterten Attribute sind inkonsistent. Was kann ich jetzt noch tun? Habe übrigens Deine Anweisungen aus einem ähnlichen thread befolgt, konnte auch sämtliche Dateien und Teile in der regestry löschen, allerdings die "ixt0.dll" in der Windows/System32 jedoch nicht, die war angeblich in Benutzung. Im Voraus vielen Dank für Deine Hilfe. Logfile of HijackThis v1.99.1 Scan saved at 16:16:56, on 19.09.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ishost.exe C:\WINDOWS\System32\issearch.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\qttask.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\System32\shxuiiac.exe C:\WINDOWS\System32\ismini.exe C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MSWin.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Office\Office10\msoffice.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Dokumente und Einstellungen\René\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F3 - REG:win.ini: run= O2 - BHO: LIQUIObj Class - {00000000-663f-49e8-bdf6-f26db51c7dd5} - C:\WINDOWS\liqui.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe O4 - HKLM\..\Run: [shxuiiac] C:\WINDOWS\System32\shxuiiac.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [shxuiiac] C:\WINDOWS\System32\shxuiiac.exe O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MSWin.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} (LIQUIObj Class) - O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.mp3-projekt.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{0C0422AE-920A-458A-9DC5-56C017B84CF3}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{77D4689A-1889-4624-8C32-524E6A2DA484}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{979AD49E-0622-430A-9DC8-F35B0F4A3BD4}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{B6392203-AD9E-4E80-ACC1-348AD1F94F28}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{C92C998F-7BA1-4B05-BE0B-6A36BA259AAE}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{CD78F9F4-FDEA-49E8-A3EC-0FC4B550F1F1}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{DAE1B187-031F-4BCA-93F8-31533FC4B620}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C0422AE-920A-458A-9DC5-56C017B84CF3}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170 O21 - SSODL: IEFilter - {B87AEBDE-169F-474B-9A0A-58343BA623FE} - C:\WINDOWS\system32\IEFilter.dll O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: A062-6B94 Verzeichnis von C:\WINDOWS\system32 19.09.2006 16:29 0 filter.drv 19.09.2006 16:12 1.038 mxsuaaaa.exe 19.09.2006 16:12 1.038 sdooaaaa.exe 19.09.2006 16:12 1.038 gpwttyqy.exe 19.09.2006 16:12 1.038 sdycaaaa.exe 19.09.2006 16:12 1.038 gpbpaaaa.exe 19.09.2006 16:11 18.432 ixt0.dll 19.09.2006 16:11 4.608 ismini.exe 19.09.2006 15:12 1.038 sdsaaaaa.exe 19.09.2006 15:12 1.038 dnyqeaaa.exe 19.09.2006 15:12 1.038 sdolbaaa.exe 19.09.2006 15:12 1.038 jkwijaaa.exe 19.09.2006 15:12 1.038 pefobaaa.exe 19.09.2006 14:40 1.038 jkqvaaaa.exe 19.09.2006 14:40 1.038 vuikjgcf.exe 19.09.2006 14:40 1.038 jkweppnu.exe 19.09.2006 14:40 1.038 pekgnwls.exe 19.09.2006 14:40 1.038 gpixaaaa.exe 18.09.2006 20:50 1.038 mfjcaaaa.exe 18.09.2006 20:50 1.038 mfcompjv.exe 18.09.2006 20:50 1.038 vcroxryr.exe 18.09.2006 20:50 1.038 alrpwcxa.exe 18.09.2006 20:50 1.038 plaaaaaa.exe 18.09.2006 19:52 1.038 pehebxch.exe 18.09.2006 19:52 1.038 mxeudcif.exe 18.09.2006 19:52 1.038 sdgkwibi.exe 18.09.2006 19:51 1.038 dnffitda.exe 18.09.2006 19:51 1.038 jkicukax.exe 18.09.2006 19:29 1.038 drxskeep.exe 18.09.2006 19:29 1.038 gtvaaaaa.exe 18.09.2006 19:29 1.038 vyvikimi.exe 18.09.2006 19:29 1.038 piimjxmd.exe 18.09.2006 19:29 1.038 jkaoaaaa.exe 18.09.2006 16:55 1.038 gtedhaaa.exe 18.09.2006 16:55 1.038 pieqaaaa.exe 18.09.2006 16:55 1.038 joimqven.exe 18.09.2006 16:55 1.038 joysjicu.exe 18.09.2006 16:55 1.038 vyvaaaaa.exe 18.09.2006 15:10 1.038 peebaaaa.exe 18.09.2006 15:10 1.038 aenvmrla.exe 18.09.2006 15:10 1.038 mxxdcaaa.exe 18.09.2006 15:10 1.038 vudaaaaa.exe 18.09.2006 15:10 1.038 peajguai.exe 18.09.2006 05:23 29.184 issearch.exe 18.09.2006 05:21 32.272 ishost.exe 18.09.2006 01:18 155.648 {34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll 18.09.2006 00:47 1.038 peoljups.exe 18.09.2006 00:47 1.038 peblitsw.exe 18.09.2006 00:47 1.038 aembnaaa.exe 18.09.2006 00:47 1.038 vuhvypfc.exe 15.09.2006 19:06 1.038 pigfffhg.exe 15.09.2006 19:06 1.038 mcolyeya.exe 15.09.2006 19:06 1.038 pisyfafq.exe 15.09.2006 19:06 1.038 vypeikql.exe 15.09.2006 19:06 1.038 drjthaaa.exe 15.09.2006 15:10 1.038 aesdjjqc.exe 15.09.2006 15:10 1.038 gpawyyti.exe 15.09.2006 15:10 1.038 dnouqmuk.exe 15.09.2006 15:10 1.038 sdqdwdix.exe 15.09.2006 15:10 1.038 aelcbaaa.exe 15.09.2006 15:07 1.158 wpa.dbl 13.09.2006 20:05 1.038 mcmaaaaa.exe 13.09.2006 20:05 13.824 shxuiiac.exe 13.09.2006 20:05 1.038 vynxyaaa.exe 13.09.2006 07:46 1.038 awapaaaa.exe 20.08.2006 19:41 17.878 vcmgcd32.dl_ 12.08.2006 04:26 61 svcp.csv 12.08.2006 04:26 4 winsub.xml 23.05.2006 13:48 313.254 perfh009.dat 23.05.2006 13:48 40.780 perfc009.dat 23.05.2006 13:48 49.148 perfc007.dat 23.05.2006 13:48 318.454 perfh007.dat 23.05.2006 13:48 729.182 PerfStringBackup.INI |
|
|
||
19.09.2006, 17:28
Ehrenmitglied
Beiträge: 29434 |
#7
Bolloman
dein Rechner ist schwer verseucht und die Internetverbindung wird auf einen Server in die ukraine umgeleitet, ich brauche mehr infos von deinem System ! 1. datfindbat hat vier logs, schau mal auf der seite, da wird es erklaert - ich brauche alle 4 http://virus-protect.org/datfindbat.html 2. poste dieses log http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren) {B87AEBDE-169F-474B-9A0A-58343BA623FE} {08BEC6AA-49FC-4379-3587-4B21E286C19E} {00000000-663f-49e8-bdf6-f26db51c7dd5} {052b12f7-86fa-4921-8482-26c42316b522} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. 4. scanne und poste das log http://virus-protect.org/artikel/tools/fixwareout.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2006, 19:30
...neu hier
Beiträge: 9 |
#8
Hallo Sabina,
vielen Dank für Deine schnelle Antwort. Werde Deine Anweisungen durchführen und Dir die Informationen dann übermitteln. Zur Zeit habe ich gerade einen Komplett-Check von Antivir laufen (der Gute löscht sich den Wolf: bei 75 % Untersuchungsfortschritt bereits 425 Meldungen). War in der Vergangenheit wohl etwas blauäugig: seit 8 Jahren im Internet und noch nie ein Virenprogramm benutzt. Rechner hat immer funktioniert, möchte gar nicht wissen, was da im Hintergrund alles abgelaufen ist. Bin dann jetzt wohl an der Reihe, meine Lektion zu lernen. Hoffe ich bekomme das mit Deiner Hilfe auf die Reihe. Für die Unterstützung jedenfalls schon mal ein dickes Dankeschön! Entschuldige die dümmliche Frage (hab wie gesagt keinen Schimmer, wie ein Forum funktioniert): Bist Du eigentlich immer da, wieso hast Du es so drauf, ist das (D)ein Job bei Protecus? Melde mich, sobald ich die logs habe. Dankbare Grüße Bolloman |
|
|
||
19.09.2006, 19:44
Member
Beiträge: 130 |
#9
Poste auch den antivir report dann
|
|
|
||
19.09.2006, 22:40
...neu hier
Beiträge: 9 |
#10
Hallo Sabina,
Habe mit Unterstützung meines Sohnes alle Untersuchungen abgearbeitet, hier die Ergebnisse: Noch ein Hinweis: Die allererste Unregelmäßigkeit beim Starten des Rechners ist ein Fenster "Windows - Fehlender Datenträger im Laufwerk Device/Harddisk II". Verschwindet erst nach 4maligem Schließen bzw. Button "Abbrechen", auch im Task-Manager 4maliges "Task beenden" notwendig, danach fährt erst der Rechner abschließend hoch (Icons auf Desktop etc.) Hoffe, Du kannst meinem Gestammel etwas Nützliches entnehmen bzw. die Logs helfen Dir. Abermals vielen Dank! Freundliche Grüße vom Bolloman Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: A062-6B94 Verzeichnis von c:\ 06-09-19 20:56 0 dirdat.txt 06-09-19 20:55 112 system32.txt 06-09-19 20:42 536,399,872 hiberfil.sys 06-09-19 20:42 402,653,184 pagefile.sys 06-09-19 16:39 128 ComboFix.txt 06-09-19 16:36 128 ComboFix2.txt 06-09-19 16:35 128 ComboFix3.txt 06-09-19 16:11 3,108 avenger.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: A062-6B94 Verzeichnis von C:\WINDOWS\system32 06-09-19 20:54 0 filter.drv 06-09-19 20:45 18,432 ixt0.dll 06-09-19 17:57 0 Service.exe 06-09-19 17:31 315,764 perfh009.dat 06-09-19 17:31 42,050 perfc009.dat 06-09-19 17:31 50,728 perfc007.dat 06-09-19 17:31 321,382 perfh007.dat 06-09-19 17:31 735,332 PerfStringBackup.INI 06-09-18 05:23 29,184 issearch.exe 06-09-18 01:18 424,718 {C210CF1C-237C-47C7-AF38-A87FC0AB1B9C}.exe 06-09-18 01:18 5,214 {151C029C-1AD1-4E21-8256-9A3A9F93EFEE}.exe 06-09-18 01:18 45,568 {C46867D7-4B61-47CF-AFD0-DC5C69C7606F}.exe 06-09-18 01:18 4,608 {8E97B868-3FAA-4B7D-9B97-D96CF9B8D75D}.exe 06-09-18 01:18 155,648 {34437BE2-349B-43C8-9A6F-D34C63E9DE74}.dll 06-09-18 01:18 3,117 {0DD398A7-0E37-483F-9B97-57A719943620}.exe 06-09-18 01:18 61,955 {90A435B6-6D97-44F2-89A3-0DD17F89F04A}.exe 06-09-18 01:18 51,223 csmhp.exe 06-09-15 15:07 1,158 wpa.dbl 06-09-13 20:05 13,824 shxuiiac.exe 06-08-12 04:26 61 svcp.csv 06-08-12 04:26 4 winsub.xml 06-06-02 11:04 57,384 avsda.dll 06-03-18 21:51 34,064 lhacm.acm Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: A062-6B94 Verzeichnis von C:\WINDOWS 06-09-19 20:44 0 0.log 06-09-19 20:44 159 wiadebug.log 06-09-19 20:44 3,880 ModemLog_V9X HAM 1394V.txt 06-09-19 20:44 50 wiaservc.log 06-09-19 20:42 2,048 bootstat.dat 06-09-19 20:41 32,544 SchedLgU.Txt 06-09-19 17:56 202,136 setupapi.log 06-09-19 17:32 19,537 iis6.log 06-09-19 17:32 53,861 comsetup.log 06-09-19 17:32 35,683 ntdtcsetup.log 06-09-19 17:32 73,056 tsoc.log 06-09-19 17:32 4,566 imsins.log 06-09-19 17:32 112,334 ocgen.log 06-09-19 17:32 7,870 ocmsn.log 06-09-19 17:32 7,924 msgsocm.log 06-09-19 17:32 159,319 FaxSetup.log 06-09-19 15:31 213,660 setupact.log 06-09-19 14:42 4,578 rdt.ini 06-09-18 01:18 6,400 balloon.wav 06-09-18 00:50 81,726 wmsetup.log 06-08-21 04:09 1,501 IE4 Error Log.txt 06-08-21 03:59 346 system.ini 06-08-03 20:11 4,096 d3dx.dat 06-08-03 20:08 77,840 DirectX.log 06-07-30 18:28 103,532 War3Unin.dat 06-05-23 12:19 1,071 AWMODEM.INF 06-05-21 13:04 54,156 QTFont.qfn 06-05-21 13:04 1,409 QTFont.for 06-04-01 03:17 487 Capictrl.INI 06-02-24 06:14 796 stwin05.ini 06-02-24 06:13 810 d2hnav.ini 06-02-11 18:14 133,142 Windows Update.log 06-01-02 23:02 538 WINPHONE.INI Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: A062-6B94 Verzeichnis von C:\DOKUME~1\REN~1\LOKALE~1\Temp 06-09-19 20:48 0 tmp9.tmp 06-09-19 20:48 0 tmp8.tmp 06-09-19 20:45 16,384 Perflib_Perfdata_140.dat 06-09-19 20:28 0 tmp7.tmp 06-09-19 20:28 0 tmp6.tmp 06-09-19 19:42 0 tmp5.tmp 06-09-19 19:42 0 tmp3.tmp 06-09-19 18:57 0 tmp4.tmp 06-09-19 17:58 16,384 Perflib_Perfdata_88c.dat 06-09-19 17:57 0 Des2.tmp 06-09-19 16:39 100,569 bt1442.bat 06-09-19 16:35 100,569 bt3720.bat 06-08-05 21:49 36,864 CmdLineExt02.dll 13 Datei(en) 270,770 Bytes 0 Verzeichnis(se), 17,238,183,936 Bytes frei 09/19/06 21:15:05 [Info]: BlackLight Engine 1.0.46 initialized 09/19/06 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 1) 09/19/06 21:15:05 [Note]: 7019 4 09/19/06 21:15:05 [Note]: 7005 0 09/19/06 21:15:11 [Note]: 7006 0 09/19/06 21:15:11 [Note]: 7011 1400 09/19/06 21:15:11 [Note]: 7026 0 09/19/06 21:15:11 [Note]: 7026 0 09/19/06 21:15:11 [Note]: 7024 3 09/19/06 21:15:11 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe 09/19/06 21:15:11 [Note]: FSRAW library version 1.7.1019 09/19/06 21:18:08 [Info]: Hidden file: c:\WINDOWS\system32\ntio256.sys 09/19/06 21:18:08 [Note]: 7002 2 09/19/06 21:18:08 [Note]: 7003 1 09/19/06 21:18:08 [Note]: 10002 1 09/19/06 21:18:10 [Info]: Hidden file: C:\WINDOWS\system32\protector.exe 09/19/06 21:18:10 [Note]: 7002 2 09/19/06 21:18:10 [Note]: 7003 1 09/19/06 21:18:10 [Note]: 10002 1 09/19/06 21:18:15 [Info]: Hidden file: c:\WINDOWS\system32\csmhp.exe 09/19/06 21:18:15 [Note]: 7002 32 09/19/06 21:18:15 [Note]: 7003 1 09/19/06 21:18:15 [Note]: 10002 1 09/19/06 21:18:20 [Info]: Hidden file: c:\WINDOWS\system32\{8E97B868-3FAA-4B7D-9B97-D96CF9B8D75D}.exe 09/19/06 21:18:20 [Note]: 10002 1 09/19/06 21:18:20 [Info]: Hidden file: c:\WINDOWS\system32\{C210CF1C-237C-47C7-AF38-A87FC0AB1B9C}.exe 09/19/06 21:18:20 [Note]: 10002 1 09/19/06 21:18:21 [Info]: Hidden file: c:\WINDOWS\system32\{C46867D7-4B61-47CF-AFD0-DC5C69C7606F}.exe 09/19/06 21:18:21 [Note]: 10002 1 09/19/06 21:26:09 [Note]: 7006 0 09/19/06 21:26:09 [Note]: 7011 1400 09/19/06 21:26:09 [Note]: 7026 0 09/19/06 21:26:10 [Note]: 7026 0 09/19/06 21:26:10 [Note]: 7024 3 09/19/06 21:26:10 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe 09/19/06 21:26:10 [Note]: FSRAW library version 1.7.1019 09/19/06 21:26:12 [Note]: 7002 2 09/19/06 21:26:12 [Note]: 7003 1 09/19/06 21:26:25 [Note]: 7007 0 Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B725CA3451EA-9EC9-7504-86AB-B1F99B75{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A40F98F71DD0-3A98-2F44-79D6-6B534A09{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}026349917A75-79B9-F384-73E0-7A893DD0{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D57D8B9FC69D-79B9-D7B4-AAF3-868B79E8{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F6067C96C5CD-0DFA-FC74-16B4-7D76864C{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EEFE39F9A3A9-6528-12E4-1DA1-C920C151{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9B1BA0CF78A-83FA-7C74-C732-C1FC012C{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Searching by size/names... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 06-09-19 21:54:45 for strings: ; '{b87aebde-169f-474b-9a0a-58343ba623fe}' ; '{08bec6aa-49fc-4379-3587-4b21e286c19e}' ; '{00000000-663f-49e8-bdf6-f26db51c7dd5}' ; '{052b12f7-86fa-4921-8482-26c42316b522}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-663f-49e8-bdf6-f26db51c7dd5}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\Implemented Categories] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\Implemented Categories\{00021493-0000-0000-C000-000000000046}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B87AEBDE-169F-474B-9A0A-58343BA623FE}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B87AEBDE-169F-474B-9A0A-58343BA623FE}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LIQUI.LIQUIObj\CLSID] @="{00000000-663f-49e8-bdf6-f26db51c7dd5}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-663f-49e8-bdf6-f26db51c7dd5}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-663f-49e8-bdf6-f26db51c7dd5}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] ; Contents of value: ; "{052b12f7-86fa-4921-8482-26c42316b522}"=hex:00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-663f-49e8-bdf6-f26db51c7dd5}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "IEFilter"="{B87AEBDE-169F-474B-9A0A-58343BA623FE}" [HKEY_USERS\S-1-5-21-1434109735-1774555873-3433309461-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] ; Contents of value: ; ÷+ú†!i„‚&Ä#µ" "{052B12F7-86FA-4921-8482-26C42316B522}"=hex:f7,12,2b,05,fa,86,21,49,84,82,26,\ c4,23,16,b5,22 ; End Of The Log... |
|
|
||
19.09.2006, 23:31
Ehrenmitglied
Beiträge: 29434 |
#11
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT41.1. Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen Dann lass Blacklight den Rechner neu starten. doppelklick: blbeta.exe nach dem Check klicke -- next 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint ** scanne mit smitfraudfix (option 1 und 2 ) und poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html ** scanne mit Combofix und poste den report http://virus-protect.org/artikel/tools/combofix.html ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: LIQUIObj Class - {00000000-663f-49e8-bdf6-f26db51c7dd5} - C:\WINDOWS\liqui.dll (file missing)Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken 1. Click Start > Control Panel 2. Double-click Network Connections. 85.255.115.42 85.255.112.170 - muss raus !! ** F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport ** + poste das neue Log vom HijackThis ------------------------------------------------- ***** Registry Search by Bobbi Flekman in: "Enter search strings" (reinschreiben oder reinkopieren) ntio256.sys in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. «« http://virus-protect.org/artikel/dienste/service.html http://virus-protect.org/artikel/spyware/searchtoolbar_remove.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.09.2006, 12:25
...neu hier
Beiträge: 9 |
#12
Hallo,
war beruflich ein paar Tage unterwegs, hier nun die Logs. Vorab zwei Anmerkungen: 1. Mit folgender Anweisung konnte ich leider nichts anfangen, könntest Du bitte ausführlicher beschreiben, was ich tun muss - Danke! "Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken 1. Click Start > Control Panel 2. Double-click Network Connections. 85.255.115.42 85.255.112.170 - muss raus !!" 2. Habe den F-Secure-online scanner 3x durchlaufen lassen, findet auch 9 Viren bzw. 60 Trojaner und überspringt 3 Dateien, beim cleaning bringt er aber jedesmal folgende Fehlermeldung: "An error has occured! Please close the scanner and your browser, then try again. (Id: 10)" Hier nun aber die Logs, die ich erstellen konnte: C:\avenger\1.reg C:\avenger\11.reg C:\avenger\12.reg C:\avenger\2.reg C:\avenger\3.reg C:\avenger\4.reg C:\avenger\5.reg C:\avenger\7.reg C:\avenger\8.reg C:\avenger\9.reg C:\avenger\backup.zip 1 Datei(en) kopiert. zip warning: C:/backup.zip not found or empty adding: avenger/avenger.txt (188 bytes security) (deflated 89%) adding: avenger/backup.reg (188 bytes security) (deflated 84%) adding: avenger/bt1442.bat (140 bytes security) (deflated 77%) adding: avenger/bt3720.bat (140 bytes security) (deflated 77%) adding: avenger/Des2.tmp (140 bytes security) (stored 0%) adding: avenger/filter.drv (188 bytes security) (stored 0%) adding: avenger/IEFilter.dll (188 bytes security) (deflated 45%) adding: avenger/MSIEHelper.dll (188 bytes security) (deflated 55%) adding: avenger/MSWin.exe (196 bytes security) (deflated 13%) adding: avenger/qttask.exe (188 bytes security) (deflated 65%) adding: avenger/Service.exe (188 bytes security) (stored 0%) adding: avenger/shxuiiac.exe (188 bytes security) (deflated 17%) adding: avenger/svcp.csv (188 bytes security) (stored 0%) adding: avenger/tmp3.tmp (140 bytes security) (stored 0%) adding: avenger/tmp4.tmp (140 bytes security) (stored 0%) adding: avenger/tmp5.tmp (140 bytes security) (stored 0%) adding: avenger/tmp6.tmp (140 bytes security) (stored 0%) adding: avenger/tmp7.tmp (140 bytes security) (stored 0%) adding: avenger/tmp8.tmp (140 bytes security) (stored 0%) adding: avenger/tmp9.tmp (140 bytes security) (stored 0%) adding: avenger/winsub.xml (188 bytes security) (stored 0%) adding: avenger/{C210CF1C-237C-47C7-AF38-A87FC0AB1B9C}.exe (188 bytes security ) (deflated 3%) adding: avenger/{C46867D7-4B61-47CF-AFD0-DC5C69C7606F}.exe (188 bytes security ) (deflated 7%) SmitFraudFix v2.99 Scan done at 7:47:33.89, 06-09-24 Run from C:\Dokumente und Einstellungen\Ren‚\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\components\flx?.dll FOUND ! C:\WINDOWS\system32\components\flx??.dll FOUND ! C:\WINDOWS\system32\components\flx???.dll FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Ren‚\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\REN~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\SpyQuake2.com\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End SmitFraudFix v2.99 Scan done at 7:52:33.25, 06-09-24 Run from C:\Dokumente und Einstellungen\Ren‚\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\components\flx?.dll Deleted C:\WINDOWS\system32\components\flx??.dll Deleted C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted C:\Programme\SpyQuake2.com\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Ren‚ - 06-09-24 8:01:44.03 Service Pack 1 ComboFix 06.09.23.2 - Running from: "C:\Dokumente und Einstellungen\Ren‚\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\components ((((((((((((((((((((((((((((((( Files Created from 2006-08-19 to 2006-09-19 )))))))))))))))))))))))))))))))))) 2006-09-24 07:56 0 --a------ C:\backup.reg 2006-09-24 07:37 126,976 --a------ C:\zip.exe 2006-09-24 07:37 1,318 --a------ C:\avexport.bat 2006-09-24 07:37 1,080 --a------ C:\pjupgjnb.bat 2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\peoljups.exe 2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\pekgnwls.exe 2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\jkehcaaa.exe 2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\aenraaaa.exe 2006-09-24 07:22 1,038 --a------ C:\WINDOWS\system32\aekvhdet.exe 2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\mxagsser.exe 2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\jkjujaaa.exe 2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\jkfyaunx.exe 2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\gpisujje.exe 2006-09-24 06:06 1,038 --a------ C:\WINDOWS\system32\gpftaaaa.exe 2006-09-19 17:00 57,384 --a------ C:\WINDOWS\system32\avsda.dll 2006-09-13 20:05 17,920 --a------ C:\WINDOWS\system32\ntio256.sys.ren 2006-09-13 20:05 15,360 --a------ C:\WINDOWS\system32\protector.exe.ren (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-24 07:37 60416 --a------ C:\WINDOWS\system32\drivers\tuaesldy.sys 2006-09-19 17:52 -------- d-------- C:\Programme\Windows Media Player 2006-09-19 17:51 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-08-27 11:55 -------- d-------- C:\Programme\World of Warcraft (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AOLMIcon"="C:\\Programme\\Gemeinsame Dateien\\AOLSHARE\\AOLMIcon.exe" "shxuiiac"="C:\\WINDOWS\\System32\\shxuiiac.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "NeroCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe" "Microsoft Works Portfolio"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers" "Microsoft Works Update Detection"="C:\\Programme\\Microsoft Works\\WkDetect.exe" "C-Media Mixer"="Mixer.exe /startup" "QuickTime Task"="C:\\WINDOWS\\System32\\qttask.exe" "RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER" "Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe" "nwiz"="nwiz.exe /install" "Corel Reminder"="" "shxuiiac"="C:\\WINDOWS\\System32\\shxuiiac.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "hrnkcmlu"="C:\\pjupgjnb.bat" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "IEFilter"="{645DC457-72D4-4201-8C20-F669767C0E06}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Completion time: 06-09-24 8:03:23.42 ComboFix.txt ComboFix2.txt ComboFix3.txt REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 06-09-24 11:02:17 for strings: ; 'ntio256.sys' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntio256] ; Contents of value: ; \??\c:\windows\system32\ntio256.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\ 6d,33,32,5c,6e,74,69,6f,32,35,36,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntio256] ; Contents of value: ; \??\c:\windows\system32\ntio256.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\ 6d,33,32,5c,6e,74,69,6f,32,35,36,2e,73,79,73,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntio256] ; Contents of value: ; \??\c:\windows\system32\ntio256.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\ 6d,33,32,5c,6e,74,69,6f,32,35,36,2e,73,79,73,00 ; End Of The Log... Hoffe, diese Infos helfen weiter, bin langsam wirklich ziemlich verzweifelt. Für die Hilfe natürlich wieder vielen Dank! |
|
|
||
24.09.2006, 12:35
Ehrenmitglied
Beiträge: 29434 |
#13
Bolloman
1. Gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - IEFilter [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "IEFilter"="{645DC457-72D4-4201-8C20-F669767C0E06}" -> loeschen bearbeiten - suchen - shxuiiac [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "shxuiiac" -> loeschen [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "shxuiiac" -> loeschen -------------------------------------------------------------------- 2. Avenger Zitat registry keys to delete:poste den scanreport vom Avenger nach neustart, dann poste noch mal die 4 logs von datfindbat, blacklight, noch mal combofix und noch mal das log vom hijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.09.2006, 13:08
...neu hier
Beiträge: 3 |
#14
Auch ich habe das selbe Problem, kann mir bitte wer helfen ?
Logfile of HijackThis v1.99.1 Scan saved at 14:55:00, on 22.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\svchost.exe I:\Programme\Windows Defender\MsMpEng.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\spoolsv.exe I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe I:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE I:\Programme\MetaTrader Data Center\mtdcsrv.exe I:\WINDOWS\System32\svchost.exe I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe I:\WINDOWS\system32\BRMFRSMG.EXE I:\WINDOWS\Explorer.EXE I:\Programme\MPVIDEOCODEC\pmsngr.exe I:\WINDOWS\SOUNDMAN.EXE I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe I:\WINDOWS\Dit.exe I:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe I:\Programme\G DATA PowerPDF\Xpmail.exe I:\Programme\MPVIDEOCODEC\pmmon.exe I:\Programme\Java\jre1.5.0_06\bin\jusched.exe I:\Programme\Browser MOUSE\mouse32a.exe I:\Programme\Winamp\winampa.exe I:\Programme\CA\eTrust Internet Security Suite\caissdt.exe I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe I:\Programme\Microsoft IntelliType Pro\type32.exe I:\Programme\Microsoft IntelliPoint\point32.exe I:\WINDOWS\System32\rundll32.exe I:\Programme\Windows Defender\MSASCui.exe I:\Programme\Acronis\TrueImage\TrueImageMonitor.exe I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe I:\WINDOWS\system32\ctfmon.exe I:\WINDOWS\DitExp.exe I:\Programme\Unimessage Pro\WilCap.exe I:\Programme\Messenger\MSMSGS.EXE I:\Programme\Skype\Phone\Skype.exe I:\Programme\PhraseExpress\phraseexpress.exe I:\WINDOWS\system32\wscntfy.exe I:\Programme\Internet Explorer\iexplore.exe I:\Dokumente und Einstellungen\Hermann Ruetz\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - I:\Programme\MPVIDEOCODEC\isaddon.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PCMService] I:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [VOBRegCheck] I:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PrintPackDispatcher] "I:\Programme\G DATA PowerPDF\Xpmail.exe" O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] I:\Programme\Browser MOUSE\mouse32a.exe O4 - HKLM\..\Run: [WinampAgent] I:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CaISSDT] "I:\Programme\CA\eTrust Internet Security Suite\caissdt.exe" O4 - HKLM\..\Run: [CaAvTray] "I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe" O4 - HKLM\..\Run: [CAVRID] "I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe" O4 - HKLM\..\Run: [type32] "I:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "I:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [Windows Defender] "I:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [TrueImageMonitor.exe] I:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WilSpoolProxy] I:\Programme\Unimessage Pro\WilCap.exe O4 - HKCU\..\Run: [MSMSGS] "I:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: PhraseExpress.lnk = I:\Programme\PhraseExpress\phraseexpress.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: equestre - {70305bc2-b289-4209-a344-be21f22bc930} - I:\WINDOWS\system32\zphnok.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: CAISafe - Computer Associates International, Inc. - I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe O23 - Service: MetaTrader Data Center (mtdcsrv) - Unknown owner - I:\Programme\MetaTrader Data Center\mtdcsrv.exe" /start (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - I:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - I:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe Hermann Ruetz - 06-09-24 10:56:36,27 Service Pack 2 ComboFix 06.09.23.2 - Running from: "I:\Dokumente und Einstellungen\Hermann Ruetz\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2006-08-24 to 2006-09-24 )))))))))))))))))))))))))))))))))) 2006-09-22 09:18 1,060,864 --a------ I:\WINDOWS\system32\mfc71.dll 2006-09-22 08:58 176,128 --a------ I:\WINDOWS\system32\zphnok.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-24 10:54 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Skype 2006-09-22 15:32 -------- d-------- I:\Programme\MPVIDEOCODEC 2006-09-22 15:28 -------- d-------- I:\Programme\Microsoft Works 2006-09-22 14:35 -------- d-------- I:\Programme\Fixer Antispy 2006-09-22 14:06 -------- d-------- I:\Programme\Gemeinsame Dateien 2006-09-22 13:04 -------- d-------- I:\Programme\Lavasoft 2006-09-22 13:04 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Lavasoft 2006-09-22 09:25 91344 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\errorsafefreeinstall_de[1].exe 2006-09-22 09:11 -------- d-------- I:\Programme\Spy-Heal 2006-09-22 09:03 -------- d-------- I:\Programme\vb 2006-09-21 15:39 -------- d-------- I:\Programme\Picobello2000 2006-09-18 08:59 -------- d-------- I:\Programme\VTtrader 2006-09-10 11:11 -------- d-------- I:\Programme\PC-KUECHE 2006-09-02 19:03 38500 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR 2006-09-02 19:01 38490 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Microsoft Excel.ADR 2006-09-02 18:59 38494 --a------ I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Kommagetrennte Werte (DOS).ADR 2006-09-02 15:20 -------- d-------- I:\Programme\Mobile Action 2006-08-28 10:52 -------- d-------- I:\Programme\Gervdb 2006-08-21 14:26 16896 --a------ I:\WINDOWS\system32\fltlib.dll 2006-08-21 11:14 23040 --a------ I:\WINDOWS\system32\fltmc.exe 2006-08-21 11:14 128896 --------- I:\WINDOWS\system32\drivers\fltmgr.sys 2006-08-16 20:50 -------- d-------- I:\Programme\PhraseExpress 2006-08-13 13:40 -------- d-------- I:\Programme\MetaTrader 4 2006-08-13 13:39 -------- d-------- I:\Programme\gotomaxx 2006-08-13 13:36 -------- d--h----- I:\Programme\InstallShield Installation Information 2006-08-13 13:36 -------- d-------- I:\Programme\Fibotrader 2006-08-13 01:48 -------- d-------- I:\Programme\Internet Explorer 2006-08-09 14:08 -------- d-------- I:\Programme\Unimessage Pro 2006-08-04 18:48 -------- d-------- I:\Programme\ABBYY FineReader 7.0 Professional Edition 2006-08-04 18:13 -------- d-------- I:\Programme\ABBYY FineReader 8.0 Professional Edition 2006-08-04 14:21 -------- d---s---- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Microsoft 2006-08-01 14:46 73216 --a------ I:\WINDOWS\ST6UNST.EXE 2006-08-01 14:46 249856 --------- I:\WINDOWS\Setup1.exe 2006-08-01 14:23 -------- d-------- I:\Programme\Google 2006-08-01 14:23 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\Google 2006-08-01 08:39 26787 --a------ I:\WINDOWS\system32\drivers\vetmonnt.sys 2006-07-30 11:06 1027072 --a------ I:\WINDOWS\system32\AutoPartNt.exe 2006-07-29 14:17 96320 --a------ I:\WINDOWS\system32\drivers\snapman.sys 2006-07-29 14:17 30688 --a------ I:\WINDOWS\system32\drivers\tifsfilt.sys 2006-07-29 14:17 249152 --a------ I:\WINDOWS\system32\drivers\timntr.sys 2006-07-29 14:17 -------- d-------- I:\Programme\Gemeinsame Dateien\Acronis 2006-07-29 14:17 -------- d-------- I:\Programme\Acronis 2006-07-28 17:48 -------- d-------- I:\Dokumente und Einstellungen\Hermann Ruetz\Anwendungsdaten\MobileAction 2006-07-27 16:41 -------- d-------- I:\Programme\V80-V600 Bluetooth-Handset Manager 2006-07-27 15:25 679424 --a------ I:\WINDOWS\system32\inetcomm.dll 2006-07-25 15:09 -------- d-------- I:\Programme\PhraseExpress SE 2006-07-21 10:29 72704 --------- I:\WINDOWS\system32\hlink.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="I:\\WINDOWS\\system32\\ctfmon.exe" "WilSpoolProxy"="I:\\Programme\\Unimessage Pro\\WilCap.exe" "MSMSGS"="\"I:\\Programme\\Messenger\\MSMSGS.EXE\" /background" "Skype"="\"I:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" "ATIPTA"="I:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Dit"="Dit.exe" "PCMService"="I:\\Programme\\Medion Home CinemaXL\\PowerCinema\\PCMService.exe" "VOBRegCheck"="I:\\WINDOWS\\System32\\VOBREGCheck.exe -CheckReg" "PrintPackDispatcher"="\"I:\\Programme\\G DATA PowerPDF\\Xpmail.exe\"" "NeroFilterCheck"="I:\\WINDOWS\\system32\\NeroCheck.exe" "SunJavaUpdateSched"="I:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "FLMOFFICE4DMOUSE"="I:\\Programme\\Browser MOUSE\\mouse32a.exe" "WinampAgent"="I:\\Programme\\Winamp\\winampa.exe" "CaISSDT"="\"I:\\Programme\\CA\\eTrust Internet Security Suite\\caissdt.exe\"" "CaAvTray"="\"I:\\Programme\\CA\\eTrust Internet Security Suite\\eTrust EZ Antivirus\\CAVTray.exe\"" "CAVRID"="\"I:\\Programme\\CA\\eTrust Internet Security Suite\\eTrust EZ Antivirus\\CAVRID.exe\"" "type32"="\"I:\\Programme\\Microsoft IntelliType Pro\\type32.exe\"" "IntelliPoint"="\"I:\\Programme\\Microsoft IntelliPoint\\point32.exe\"" "Windows Defender"="\"I:\\Programme\\Windows Defender\\MSASCui.exe\" -hide" "TrueImageMonitor.exe"="I:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe" "Acronis Scheduler2 Service"="\"I:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="I:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="I:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "pmsngr.exe"="I:\\Programme\\MPVIDEOCODEC\\pmsngr.exe" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "equestre"="{70305bc2-b289-4209-a344-be21f22bc930}" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Contents of the 'Scheduled Tasks' folder I:\WINDOWS\tasks\MP Scheduled Scan.job Completion time: 24.09.2006 10:58:09.40 ComboFix.txt |
|
|
||
24.09.2006, 13:53
Ehrenmitglied
Beiträge: 29434 |
#15
Ruetz Herman
0. mediacodec.zip laden http://virus-protect.org/zip/mediacodec.zip entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 1. gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - zphnok [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "equestre"="{70305bc2-b289-4209-a344-be21f22bc930}" -> loeschen 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten poste das log vom Avenger, was nach neustart erscheint ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - I:\Programme\MPVIDEOCODEC\isaddon.dll (file missing)** scanne mit smitfraudfix (option 1 und 2 ) http://virus-protect.org/artikel/tools/smitfrautfix.html ** loesche das backup vom Avenger unter I:\Avenger\backup.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Vielen Dank im Vorraus.
CleanUp! started on 09/18/06 23:20:04.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NZ9JN1WG\index[1].htm currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NZ9JN1WG\index[1].htm currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006091820060919\index.dat currently in use. Will be deleted when Windows is restarted.
'Typed URLs' (Internet Explorer) - removed from the registry.
C:\Dokumente und Einstellungen\Simon Schneider\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Mozilla\Firefox\Profiles\h4bfkc67.default\history.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\Mozilla\Firefox\Profiles\h4bfkc67.default\cookies.txt.old - deleted
C:\Dokumente und Einstellungen\Simon Schneider\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Simon Schneider\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
'Run MRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 0 bytes of disk space from 1080352768 files.
CleanUp! finished on 09/18/06 23:20:04.
Logfile of HijackThis v1.99.1
Scan saved at 23:21:04, on 18.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\strCodec\pmsngr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\strCodec\pmmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Network\ipnetwork.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Simon Schneider\Eigene Dateien\Tools\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {580837DB-C816-AB0E-24B8-89A46A7C4F94} - C:\DOKUME~1\SIMONS~1\ANWEND~1\INFOAX~1\Anti Okay.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winsysban] C:\\winsysban11.exe
O4 - HKLM\..\Run: [IpNetwork] C:\Programme\Network\ipnetwork.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [keyboard] c:\\keyboard21.exe
O4 - HKLM\..\Run: [newname] c:\\newname21.exe
O4 - HKLM\..\Run: [defender] C:\\defender21.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [scr body sixth site] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funk Does Scr Body\Memo media.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [CurbPart] C:\DOKUME~1\SIMONS~1\ANWEND~1\CHINRO~1\fragglue.exe
O4 - HKCU\..\Run: [algchk.exe] C:\WINDOWS\system32\algchk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48CF892D-64EF-4F3F-959B-6C9F626135F9}: NameServer = 192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{48CF892D-64EF-4F3F-959B-6C9F626135F9}: NameServer = 192.168.0.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{48CF892D-64EF-4F3F-959B-6C9F626135F9}: NameServer = 192.168.0.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED
Verzeichnis von C:\WINDOWS\system32
19.09.2006 09:33 2.206 wpa.dbl
18.09.2006 21:58 176.128 syycum.dll
11.09.2006 19:37 8.960.936 MRT.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
20.07.2006 12:33 376.626 perfh009.dat
20.07.2006 12:33 52.424 perfc009.dat
20.07.2006 12:33 386.948 perfh007.dat
20.07.2006 12:33 63.188 perfc007.dat
20.07.2006 12:33 889.304 PerfStringBackup.INI
Simon Schneider - 06-09-19 9:30:54.56 Service Pack 2
ComboFix 06.09.14 - Running from: C:\Dokumente und Einstellungen\Simon Schneider\Desktop
((((((((((((((((((((((((((((((((((((((((((((( Qoologic's Log )))))))))))))))))))))))))))))))))))))))))))))))))))
* * * POST-RUN - Files in the Quarantine folder * * * * * * * * * * * * * * * * * * * * * * * * *
DO NOT DELETE ANY FILES FROM THIS DIRECTORY UNLESS INSTRUCTED TO
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\teller2.chk
C:\Programme\network\ipnetwork.exe
C:\Programme\Inetget2
C:\Programme\snowball wars
((((((((((((((((((((((((((((((( Files Created from 2006-08-18 to 2006-09-18 ))))))))))))))))))))))))))))))))))
2006-09-18 21:58 176,128 --a------ C:\WINDOWS\system32\syycum.dll
2006-09-18 21:53 22,528 --a------ C:\WINDOWS\system32\WNASPI32.DLL
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-09-19 09:20 13440 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-09-19 09:20 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-18 23:23 -------- d-------- C:\Programme\Network
2006-09-18 23:19 -------- d-------- C:\Programme\CleanUp!
2006-09-18 22:50 -------- d-------- C:\Programme\strCodec
2006-09-18 22:46 60416 --a------ C:\WINDOWS\system32\drivers\egmno^wr.sys
2006-09-18 18:50 -------- d-------- C:\Programme\ICQToolbar
2006-09-14 20:16 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-10 18:47 -------- d-------- C:\Programme\ICQLite
2006-09-08 21:29 -------- d-------- C:\Programme\Winamp
2006-09-02 18:39 -------- d-------- C:\Programme\eMule
2006-08-30 12:48 -------- d-------- C:\Programme\SFT Loader
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-15 14:56 -------- d-------- C:\Programme\Internet Explorer
2006-08-02 13:33 -------- d-------- C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\ICQLite
2006-08-02 13:32 -------- d-------- C:\Programme\Miranda IM
2006-08-02 00:02 -------- d-------- C:\Programme\FlashFXP
2006-08-01 23:09 -------- d-------- C:\Dokumente und Einstellungen\Simon Schneider\Anwendungsdaten\FlashFXP
2006-08-01 19:13 72748 --a------ C:\WINDOWS\unins000.exe
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AOLMIcon"="C:\\WINDOWS\\AOLMIcon.exe"
"CurbPart"="C:\\DOKUME~1\\SIMONS~1\\ANWEND~1\\CHINRO~1\\fragglue.exe"
"algchk.exe"="C:\\WINDOWS\\system32\\algchk.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Dit"="Dit.exe"
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"scr body sixth site"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Funk Does Scr Body\\Memo media.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"New.net Startup"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~2.DLL,ClientStartup -s"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktopChanges"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoThemesTab"=dword:00000000
"NoViewContextMenu"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"pmsngr.exe"="C:\\Programme\\strCodec\\pmsngr.exe"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"hemadynamometer"="{6076d2b1-634c-4685-843b-f826045ea5dc}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NetPumper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NetPumperIEProxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\NetPumper\\NetPumperIEProxy.exe\""
"inimapping"="0"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\ABBE8484910D3954.job
Completion time: 19.09.2006 9:34:52.90
ComboFix.txt
ComboFix2.txt
ComboFix3.txt