Home » Spyware & Browser Hijacker Support Forum » Win Anti Virus 2006 Popup » Themenansicht

Win Anti Virus 2006 Popup
#0
10.10.2006, 17:44
Don Röschen
Member

Beiträge: 16
#16 @ sabina könntest du mir mein hjack file angucken, bekomme diese trojaner einfach nicht weg!

Logfile of HijackThis v1.99.1
Scan saved at 17:44:24, on 10/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\runservice.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mim.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\eMule\PeerGuardianLite\pglite.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Download\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: PeerGuardianBlacklist.lnk = C:\Programme\eMule\PeerGuardianLite\pglite.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe (file missing)
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
10.10.2006, 19:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Don Röschen

««
Cleanup anwenden + rechner neustarten
http://virus-protect.org/cleanup.html

««
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)

««
wenn der Platz im Thread nicht ausreicht, speichere als txt-Datei und poste es als Anhang.
Diese Funktion findet man unten. (Datei: ....... Durchsuchen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 18:41
Don Röschen
Member

Beiträge: 16
#18 CM Punk - 06-10-10 17:24:21.42 Service Pack 2
ComboFix 06.09.28 - Running from: "D:\Download\installer\sicherheit"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\taskmgr.com
C:\Programme\Gemeinsame Dateien\{383B2EA7-0D3F-1031-1028-04101104002c}
C:\Programme\Gemeinsame Dateien\{083B2EA7-0D3F-1031-1028-04101104002c}


((((((((((((((((((((((((((((((( Files Created from 2006-09-08 to 2006-10-08 ))))))))))))))))))))))))))))))))))


2006-10-08 17:56 668 --a------ C:\datFind.bat
2006-10-08 17:54 668 --a------ C:\WINDOWS\datFind.bat
2006-10-08 15:49 668 --a------ C:\WINDOWS\system32\datFind.bat
2006-10-08 14:50 323,570 ---hs---- C:\WINDOWS\system32\utstv.bak2
2006-10-07 14:50 86,036 --a------ C:\WINDOWS\system32\urmwqjnw.dll
2006-10-07 14:50 384,140 ---hs---- C:\WINDOWS\system32\utstv.bak1
2006-10-07 14:50 143,380 --a------ C:\WINDOWS\system32\aqjrtbvh.exe
2006-10-07 14:49 684,084 ---hs---- C:\WINDOWS\system32\vtstu.dll
2006-10-06 16:44 40,973 ---hs---- C:\WINDOWS\system32\yayxuss.dll
2006-10-06 16:44 18,432 --a------ C:\WINDOWS\system32\winhoo32.dll
2006-10-06 15:48 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-20 14:25 14,848 --a------ C:\WINDOWS\system32\BASSMOD.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-10 17:26 873 --ahs---- C:\WINDOWS\system32\mmf.sys
2006-10-10 17:26 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-10 16:50 17408 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-10-10 09:34 -------- d-------- C:\Programme\PokerStars.NET
2006-10-09 15:33 -------- d-------- C:\Programme\Call of Duty
2006-10-08 21:09 -------- d-------- C:\Programme\a-squared Free
2006-10-08 15:32 -------- d-------- C:\Programme\CleanUp!
2006-10-08 15:31 -------- d-------- C:\Programme\a-squared HiJackFree
2006-10-07 17:42 -------- d-------- C:\Programme\Windows Defender
2006-10-07 14:50 -------- d-------- C:\Programme\VSToolbar
2006-10-07 14:50 -------- d-------- C:\Dokumente und Einstellungen\CM Punk\Anwendungsdaten\SearchToolbarCorp
2006-10-06 16:26 -------- d-------- C:\Programme\SpywareBlaster
2006-10-06 15:56 -------- d-------- C:\Programme\eMule
2006-10-06 15:56 -------- d-------- C:\Dokumente und Einstellungen\CM Punk\Anwendungsdaten\Azureus
2006-10-06 15:48 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-10-06 15:47 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-06 15:39 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-10-05 22:39 -------- d-------- C:\Programme\FlashGet
2006-10-05 00:20 -------- d-------- C:\Dokumente und Einstellungen\CM Punk\Anwendungsdaten\Sports Interactive
2006-10-05 00:03 -------- d-------- C:\Programme\Sports Interactive
2006-10-05 00:03 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-25 17:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 17:40 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 17:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 17:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 17:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 17:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 17:37 24560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-22 14:37 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-22 14:37 -------- d-------- C:\Programme\Firaxis Games
2006-09-20 14:56 -------- d-------- C:\Dokumente und Einstellungen\CM Punk\Anwendungsdaten\My Games
2006-09-20 14:36 -------- d-------- C:\Dokumente und Einstellungen\CM Punk\Anwendungsdaten\Zylom
2006-09-20 14:36 -------- d-------- C:\Dokumente und Einstellungen\CM Punk\Anwendungsdaten\Identities
2006-09-16 12:57 -------- d-------- C:\Programme\rFactor MP Test
2006-09-01 12:37 -------- d-------- C:\Programme\MSN Messenger
2006-08-29 15:33 -------- d-------- C:\Programme\Will
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-19 15:10 101376 --a------ C:\WINDOWS\system32\drivers\ACEDRV07.sys
2006-08-18 18:45 -------- d-------- C:\Programme\Codemasters
2006-08-18 18:37 -------- d-------- C:\Programme\ASCARON Entertainment
2006-08-14 23:44 -------- d-------- C:\Programme\Qtracker
2006-08-12 18:48 -------- d-------- C:\Programme\Internet Explorer
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2006\\MemOptimizer.exe\" autostart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe"
"Dit"="Dit.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"MimBoot"="C:\\PROGRA~1\\MUSICM~1\\MUSICM~1\\mimboot.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Realtime Audio Engine"="mmrtkrnl.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Disabled]
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e0,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000090
"ClearRecentDocsOnExit"=dword:00000001
"NoDriveAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"PcSync"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"PCSuiteTrayApplication"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -onlytray"
"DataLayer"="C:\\Programme\\Gemeinsame Dateien\\PCSuite\\DataLayer\\DataLayer.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtstu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoo32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20051201-092141-285
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
backup-20051201-092141-837
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {12F8B51D-B862-4901-8364-48640726F508} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
backup-20051201-092141-259
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {12F8B51D-B862-4901-8364-48640726F508} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
backup-20051201-092141-187
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
backup-20051201-092141-123
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
backup-20051201-092141-417
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
backup-20051201-092141-577
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
backup-20051201-092141-660
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

Completion time: 10/10/2006 17:28:12.15
ComboFix.txt
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\system32

11/10/2006 18:33 415,377 utstv.ini
11/10/2006 17:16 2,206 wpa.dbl
11/10/2006 17:15 50,257 nvapps.xml
11/10/2006 17:15 873 mmf.sys
11/10/2006 16:51 414,520 utstv.bak2
07/10/2006 14:50 86,036 urmwqjnw.dll
07/10/2006 14:50 143,380 aqjrtbvh.exe
07/10/2006 14:50 384,140 utstv.bak1
07/10/2006 14:50 684,084 vtstu.dll
06/10/2006 16:44 40,973 yayxuss.dll
06/10/2006 16:44 18,432 winhoo32.dll
04/10/2006 09:23 668 datFind.bat
02/10/2006 16:24 24,072 uxtuneup.dll
01/10/2006 14:12 3,002 CONFIG.NT
25/09/2006 17:45 666,240 aswBoot.exe
25/09/2006 17:37 90,112 AVASTSS.scr
20/09/2006 14:37 14,848 BASSMOD.dll
11/09/2006 19:37 8,960,936 MRT.exe
01/09/2006 14:04 276,560 FNTCACHE.DAT
21/08/2006 14:26 16,896 fltlib.dll
21/08/2006 11:14 23,040 fltmc.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\DOKUME~1\CMPUNK~1\LOKALE~1\Temp

11/10/2006 17:16 0 JET8066.tmp
11/10/2006 17:16 16,384 Perflib_Perfdata_8a0.dat
11/10/2006 17:16 1,796 LVCOMSX.LOG
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS

11/10/2006 17:22 1,073,226 WindowsUpdate.log
11/10/2006 17:16 6,104 ModemLog_Bluetooth DUN Modem.txt
11/10/2006 17:16 6,098 ModemLog_Bluetooth Fax Modem.txt
11/10/2006 17:16 0 0.log
11/10/2006 17:16 3,844 ModemLog_Agere Systems PCI Soft Modem.txt
11/10/2006 17:15 159 wiadebug.log
11/10/2006 17:15 50 wiaservc.log
11/10/2006 17:15 2,048 bootstat.dat
11/10/2006 17:14 32,628 SchedLgU.Txt
09/10/2006 16:13 116 NeroDigital.ini
09/10/2006 01:03 54,156 QTFont.qfn
08/10/2006 22:21 530 win.ini
08/10/2006 22:21 9,810 system.ini
04/10/2006 09:23 668 datFind.bat
21/09/2006 19:22 151 PhotoSnapViewer.INI
06/09/2006 10:39 242 musicmaker.INI
14/08/2006 23:46 1,703 Qtracker.INI
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\Temp

11/10/2006 18:29 0 winD.tmp
11/10/2006 18:20 255 WGAErrLog.txt
11/10/2006 18:07 0 winB.tmp
11/10/2006 17:45 0 winA.tmp
11/10/2006 17:23 0 win8.tmp
11/10/2006 17:21 0 win7.tmp
11/10/2006 17:19 0 win6.tmp
11/10/2006 17:17 0 win5.tmp
11/10/2006 17:16 409 WGANotify.settings
11/10/2006 17:15 16,384 Perflib_Perfdata_118.dat
11/10/2006 17:15 0 win4.tmp
11/10/2006 17:13 0 win3.tmp
11/10/2006 17:11 0 win2.tmp
11/10/2006 17:09 0 win1.tmp
11/10/2006 17:08 0 T30DebugLogFile.txt
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15/12/2005 18:01 610,304 DiagCollectionControl.dll
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\

11/10/2006 18:33 0 sys.txt
11/10/2006 18:33 303 WINDOWS-Downloaded Program Files.txt
11/10/2006 18:31 1,976 down.txt
11/10/2006 18:31 950 windows-temp.txt
11/10/2006 18:31 950 tmp.txt
11/10/2006 18:30 1,134 windows.txt
11/10/2006 18:29 7,752 system.txt
11/10/2006 18:29 397 systemtemp.txt
11/10/2006 18:25 118,653 system32.txt
11/10/2006 17:15 1,073,270,784 hiberfil.sys
11/10/2006 17:15 805,306,368 pagefile.sys
10/10/2006 17:28 11,970 ComboFix2.txt
08/10/2006 22:21 389 boot.ini
08/10/2006 18:05 1,963 DirDPF.txt
08/10/2006 18:05 2 DirDPFCns.txt
04/10/2006 09:23 668 datFind.bat
29/09/2006 13:09 13,030 PDOXUSRS.NET
Seitenanfang Seitenende
11.10.2006, 19:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Don Röschen

««
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtstu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoo32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51}

Files to delete:
C:\WINDOWS\system32\utstv.ini
C:\WINDOWS\system32\mmf.sys
C:\WINDOWS\system32\utstv.bak2
C:\WINDOWS\system32\urmwqjnw.dll
C:\WINDOWS\system32\aqjrtbvh.exe
C:\WINDOWS\system32\utstv.bak1
C:\WINDOWS\system32\vtstu.dll
C:\WINDOWS\system32\yayxuss.dll
C:\WINDOWS\system32\winhoo32.dll

Folders to delete:
C:\Programme\PokerStars.NET
C:\Programme\VSToolbar
C:\Dokumente und Einstellungen\CM Punk\Anwendungsdaten\SearchToolbarCorp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 22:15
Don Röschen
Member

Beiträge: 16
#20 vieln dank für deine hilfe!
den hier meinste hoffentlich

SUPERAntiSpyware Scan Log
Generated 10/11/2006 at 10:00 PM

Core Rules Database Version : 3102
Trace Rules Database Version: 1128

Memory Thread detected : 0
Registry Thread detected : 18
File Thread detected : 5

Adware.VSToolbar
HKLM\Software\Classes\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKCR\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKCR\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKCR\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}\InProcServer32
HKCR\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}\InProcServer32#ThreadingModel
C:\Programme\VSToolbar\VSToolBar.dll
HKU\S-1-5-21-519830563-2095346928-2476649917-1007\Software\Search Toolbar Corp
C:\Avenger\VSToolbar\VSToolBar.dll

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}\InprocServer32
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}\InprocServer32#ThreadingModel
C:\WINDOWS\system32\urmwqjnw.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{849B9523-785F-4014-9CAF-079FB4A74C61}
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
HKLM\SOFTWARE\Microsoft\MSSMGR#LID

Trojan.Downloader-LargeInterest
C:\Avenger\yayxuss.dll

Trojan.Downloader-VSToolbar
C:\VundoFix Backups\aqjrtbvh.exe.bad
Seitenanfang Seitenende
12.10.2006, 00:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 1.
loesche alles, was du an viren im Avenger und im Vundofix findest
C:\Avenger\yayxuss.dll
C:\VundoFix Backups

2.
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

PC neustarten


dann sollte wieder alles o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 20:57
Don Röschen
Member

Beiträge: 16
#22 ja alles weg wies aussieht und schönen dank nochmal! hast mir sehr geholfen!

frage: ist partypoker jetzt was bösartiges wegen dem hijackthis log ^^ ?

mfg
Seitenanfang Seitenende
13.10.2006, 00:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 ich bin mir nicht sicher , ob gut oder boese....., aber Parypoker wird von Spywarescannern wie counterspy als malware eingeschaetzt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12