Home » Spyware & Browser Hijacker Support Forum » Win Antivirus 2006 Popuo Prob » Themenansicht

Win Antivirus 2006 Popuo Prob
#0
20.09.2006, 20:29
Hellangel
...neu hier

Beiträge: 2
#1 auch wenn das thema oft vorkommt, braucht ja scheinbar jeder eine individuelle behandlung ;)

hier meine logs von Hijack This.

Cleanup ist schon gelaufen.

Logfile of HijackThis v1.99.1
Scan saved at 20:24:36, on 20.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
D:\d-tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\logi\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\firefox\firefox.exe
E:\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "d:\d-tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\logi\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - d:\kaspdemo\scieplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150536591406
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29ADD3CC-3B5A-4EB8-9483-CB632A714C50}: NameServer = 192.168.2.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE007C10-676E-434F-9E7B-57581702E1F8}: NameServer = 192.168.2.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{29ADD3CC-3B5A-4EB8-9483-CB632A714C50}: NameServer = 192.168.2.9
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - d:\kaspdemo\avp.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\ipod\bin\iPodService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe


hier die 4 von datfind ( letzte 3 monate )

sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2F35-15EE

Verzeichnis von C:\

20.09.2006 20:18 0 sys.txt
20.09.2006 20:18 10.637 system.txt
20.09.2006 20:17 295 systemtemp.txt
20.09.2006 20:17 114.946 system32.txt
20.09.2006 19:59 1.610.612.736 pagefile.sys
18.09.2006 21:10 211 boot.ini
18.09.2006 18:25 698 FPROT_C.LOG
01.08.2006 19:24 5.211 EyeCandyLog.txt

system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2F35-15EE

Verzeichnis von C:\WINDOWS

20.09.2006 20:16 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.BAK
20.09.2006 20:16 4.958.588 {00000001-00000000-00000008-00001102-00000004-20021102}.CDF
20.09.2006 20:00 0 0.log
20.09.2006 19:59 2.048 bootstat.dat
19.09.2006 23:50 1.522.142 WindowsUpdate.log
19.09.2006 23:49 32.626 SchedLgU.Txt
19.09.2006 16:12 32 pavsig.txt
19.09.2006 16:12 102.082 setupapi.log
18.09.2006 21:09 1.442 win.ini
18.09.2006 21:09 227 system.ini
18.09.2006 20:48 37 vbaddin.ini
16.09.2006 14:50 1.335 cdplayer.ini
13.09.2006 22:47 69 NeroDigital.ini
13.09.2006 21:54 1.409 QTFont.for
13.09.2006 21:54 54.156 QTFont.qfn
12.09.2006 19:41 27.010 msgsocm.log
12.09.2006 19:41 174.834 msmqinst.log
12.09.2006 19:41 251.431 tsoc.log
12.09.2006 19:41 29.991 ocmsn.log
12.09.2006 19:41 188.842 comsetup.log
12.09.2006 19:41 638.789 iis6.log
12.09.2006 19:41 1.374 imsins.log
12.09.2006 19:41 530.147 FaxSetup.log
12.09.2006 19:41 268.494 ocgen.log
12.09.2006 19:41 113.864 ntdtcsetup.log
12.09.2006 19:41 25.941 tabletoc.log
12.09.2006 19:41 90.197 netfxocm.log
12.09.2006 19:41 12.103 KB920685.log
12.09.2006 19:41 37.711 medctroc.Log
12.09.2006 19:41 14.298 KB920872.log
12.09.2006 19:41 1.374 imsins.BAK
12.09.2006 19:41 12.253 KB919007.log
12.09.2006 19:40 8.133 KB922582.log
12.09.2006 19:40 24.385 updspapi.log
09.09.2006 14:56 291.869 DirectX.log
16.08.2006 10:45 22 Kyor.ini
15.08.2006 13:59 696 wiadebug.log
15.08.2006 13:59 50 wiaservc.log
13.08.2006 11:16 16.822 KB920214.log
13.08.2006 11:15 16.818 KB922616.log
13.08.2006 11:15 17.219 KB921398.log
13.08.2006 11:15 20.418 KB918899.log
13.08.2006 11:15 12.687 KB920670.log
13.08.2006 11:14 12.846 KB917422.log
13.08.2006 11:14 13.043 KB920683.log
08.08.2006 21:35 13.115 KB921883.log
26.07.2006 17:27 32.665 spupdsvc.log
23.07.2006 10:40 27.388 WgaNotify.log
12.07.2006 06:23 12.418 KB917159.log
12.07.2006 06:23 12.928 KB914388.log
12.07.2006 06:23 11.006 KB916595.log

system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2F35-15EE

Verzeichnis von C:\WINDOWS\system32

20.09.2006 20:17 744.568 orqss.ini2
20.09.2006 20:17 744.847 orqss.bak2
20.09.2006 20:17 2.206 wpa.dbl
19.09.2006 23:50 1.080 settingsbkup.sfm
19.09.2006 23:50 1.080 settings.sfm
19.09.2006 23:50 11.564 DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
19.09.2006 23:50 32.088 BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
19.09.2006 23:50 32.592 BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
19.09.2006 23:50 32.592 BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
19.09.2006 23:50 32.088 BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
19.09.2006 16:11 30.590 pavas.ico
19.09.2006 16:11 2.550 Uninstall.ico
19.09.2006 16:11 1.406 Help.ico
19.09.2006 15:59 86.068 nixssywi.dll
18.09.2006 21:12 771.997 orqss.ini
18.09.2006 21:10 771.997 orqss.tmp
18.09.2006 20:29 59.392 streamhlp.dll
18.09.2006 17:19 0 asfiles.txt
17.09.2006 12:46 43.520 CmdLineExt03.dll
17.09.2006 12:09 269.392 FNTCACHE.DAT
16.09.2006 19:42 747.977 orqss.bak1
16.09.2006 19:42 577.588 ssqro.dll
11.09.2006 19:37 8.960.936 MRT.exe
05.09.2006 15:47 24.072 uxtuneup.dll
02.09.2006 11:11 98.304 CmdLineExt.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
02.08.2006 12:39 73.728 asuninst.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll

systemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2F35-15EE

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

20.09.2006 20:16 16.384 ~DF29BB.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 1.510.703.104 Bytes frei

und von echo

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2F35-15EE

Verzeichnis von C:\WINDOWS\Downloaded Program Files
24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
4 Datei(en) 1.022.892 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 1.022.892 Bytes
2 Verzeichnis(se), 1.509.801.984 Bytes frei


hoffe, das sind alle nötigen infos.

danke für die hilfe

so hier noch combofix durchgelaufen - brauch ich jetz neue datfind txte ?

Administrator - 06-09-20 20:33:43,68 Service Pack 2
ComboFix 06.09.20 - Running from: "D:\firefox"
Command switches used ::

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\{2F3515EE-089C-1031-1224-200118050031}


((((((((((((((((((((((((((((((( Files Created from 2006-08-20 to 2006-09-20 ))))))))))))))))))))))))))))))))))


2006-09-19 15:59 86,068 --a------ C:\WINDOWS\system32\nixssywi.dll
2006-09-18 21:10 750,897 ---hs---- C:\WINDOWS\system32\orqss.ini2
2006-09-18 16:38 744,847 ---hs---- C:\WINDOWS\system32\orqss.bak2
2006-09-16 19:42 747,977 ---hs---- C:\WINDOWS\system32\orqss.bak1
2006-09-16 19:42 577,588 ---hs---- C:\WINDOWS\system32\ssqro.dll
2006-09-16 19:36 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-16 16:09 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-02 11:11 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-07-31 17:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE"
"DAEMON Tools"="\"d:\\d-tools\\daemon.exe\" -lang 1033"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,cc,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:5f,00,00,00
@=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\Adobe\\acrobat\\Reader\\READER~1.EXE "
"item"="Adobe Reader Speed Launch"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech SetPoint.lnk"
"backup"="C:\\WINDOWS\\pss\\Logitech SetPoint.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\logi\\SetPoint.exe "
"item"="Logitech SetPoint"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Office-Start.lnk"
"backup"="C:\\WINDOWS\\pss\\Office-Start.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\office\\Office\\OSA.EXE -b"
"item"="Office-Start"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OnlineControl.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\OnlineControl.lnk"
"backup"="C:\\WINDOWS\\pss\\OnlineControl.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\onlineC\\ocontrol.exe "
"item"="OnlineControl"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ccApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccApp"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"D:\\clonecd\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTSysVol]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CTSysVol"
"hkey"="HKLM"
"command"="D:\\creative\\Surround Mixer\\CTSysVol.exe /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ElbyCheckElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="d:\\clonecd\\ElbyCheck.exe /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"D:\\itunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Jet Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ADGJDet"
"hkey"="HKLM"
"command"="d:\\creative\\PROGRAM\\ADGJDet.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\razertra]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="razertra"
"hkey"="HKLM"
"command"="d:\\razer\\razertra.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="d:\\powerdvd\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="G:\\hl2\\\\Steam.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Taskbar]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CTLTask"
"hkey"="HKCU"
"command"="d:\\creative\\Taskbar\\CTLTask.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TaskTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CTLTray"
"hkey"="HKCU"
"command"="d:\\creative\\Taskbar\\CTLTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\THGuard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="THGuard"
"hkey"="HKLM"
"command"="\"D:\\trojanhunter\\THGuard.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UpdReg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UpdReg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\UpdReg.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\vptray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VPTray"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqro
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincqt32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 20.09.2006 20:34:20.65
ComboFix.txt
Dieser Beitrag wurde am 20.09.2006 um 20:35 Uhr von Hellangel editiert.
Seitenanfang Seitenende
20.09.2006, 23:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hellangel

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\uxtuneup.dll
C:\WINDOWS\system32\streamhlp.dll

poste beide reporte

--------------------------------------------------------
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqro
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincqt32

Files to delete:
C:\WINDOWS\system32\orqss.ini2
C:\WINDOWS\system32\orqss.bak2
C:\WINDOWS\system32\nixssywi.dll
C:\WINDOWS\system32\orqss.ini
C:\WINDOWS\system32\orqss.tmp
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\orqss.bak1
C:\WINDOWS\system32\ssqro.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log, was nach dem neustart vom avenger erscheint

3.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2006, 18:54
Hellangel
...neu hier

Themenstarter

Beiträge: 2
#3 virus total logs:
Complete scanning result of "uxtuneup.dll", received in VirusTotal at 09.21.2006, 18:48:20 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.21.2006 no virus found
Authentium 4.93.8 09.21.2006 no virus found
Avast 4.7.844.0 09.19.2006 no virus found
AVG 386 09.21.2006 no virus found
BitDefender 7.2 09.21.2006 no virus found
CAT-QuickHeal 8.00 09.20.2006 no virus found
ClamAV devel-20060426 09.21.2006 no virus found
eTrust-InoculateIT 23.73.1 09.21.2006 no virus found
eTrust-Vet 30.3.3090 09.21.2006 no virus found
DrWeb 4.33 09.21.2006 no virus found
Ewido 4.0 09.21.2006 no virus found
Fortinet 2.82.0.0 09.21.2006 no virus found
F-Prot 3.16f 09.21.2006 no virus found
F-Prot4 4.2.1.29 09.21.2006 no virus found
Ikarus 0.2.65.0 09.21.2006 no virus found
Kaspersky 4.0.2.24 09.21.2006 no virus found
McAfee 4856 09.20.2006 no virus found
Microsoft 1.1560 09.21.2006 no virus found
NOD32v2 1.1766 09.21.2006 no virus found
Norman 5.80.02 09.21.2006 no virus found
Panda 9.0.0.4 09.21.2006 no virus found
Sophos 4.09.0 09.21.2006 no virus found
Symantec 8.0 09.21.2006 no virus found
TheHacker 6.0.1.075 09.21.2006 no virus found
UNA 1.83 09.21.2006 no virus found
VBA32 3.11.1 09.21.2006 no virus found
VirusBuster 4.3.7:9 09.21.2006 no virus found

Complete scanning result of "streamhlp.dll", received in VirusTotal at 09.21.2006, 18:51:36 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.21.2006 no virus found
Authentium 4.93.8 09.21.2006 no virus found
Avast 4.7.844.0 09.19.2006 no virus found
AVG 386 09.21.2006 no virus found
BitDefender 7.2 09.21.2006 no virus found
CAT-QuickHeal 8.00 09.20.2006 no virus found
ClamAV devel-20060426 09.21.2006 no virus found
DrWeb 4.33 09.21.2006 no virus found
eTrust-InoculateIT 23.73.1 09.21.2006 no virus found
eTrust-Vet 30.3.3090 09.21.2006 no virus found
Ewido 4.0 09.21.2006 no virus found
Fortinet 2.82.0.0 09.21.2006 no virus found
F-Prot 3.16f 09.21.2006 no virus found
F-Prot4 4.2.1.29 09.21.2006 no virus found
Ikarus 0.2.65.0 09.21.2006 no virus found
Kaspersky 4.0.2.24 09.21.2006 no virus found
McAfee 4856 09.20.2006 no virus found
Microsoft 1.1560 09.21.2006 no virus found
NOD32v2 1.1766 09.21.2006 no virus found
Norman 5.90.23 09.21.2006 no virus found
Panda 9.0.0.4 09.21.2006 no virus found
Sophos 4.09.0 09.21.2006 no virus found
Symantec 8.0 09.21.2006 no virus found
TheHacker 6.0.1.075 09.21.2006 no virus found
UNA 1.83 09.21.2006 no virus found
VBA32 3.11.1 09.21.2006 no virus found
VirusBuster 4.3.7:9 09.21.2006 no virus found

avenger wird jetzt ausgeführt.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\scnaotpx

*******************

Script file located at: \??\C:\gmmsqvtv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\orqss.ini2 deleted successfully.
File C:\WINDOWS\system32\orqss.bak2 deleted successfully.
File C:\WINDOWS\system32\nixssywi.dll deleted successfully.
File C:\WINDOWS\system32\orqss.ini deleted successfully.
File C:\WINDOWS\system32\orqss.tmp deleted successfully.
File C:\WINDOWS\system32\asfiles.txt deleted successfully.
File C:\WINDOWS\system32\orqss.bak1 deleted successfully.
File C:\WINDOWS\system32\ssqro.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqro deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincqt32 deleted successfully.

Completed script processing.

ok, ich hoffe es ist jetzt weg - thx 4 help erstmal.

wieso kann der mist eigentlich nicht einfach von irgend einem antivir gekillt werden ?
*******************

Finished! Terminate.
Dieser Beitrag wurde am 21.09.2006 um 19:02 Uhr von Hellangel editiert.
Seitenanfang Seitenende
22.09.2006, 01:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hellangel

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1