Home » Viren, Trojaner & Malware Forum » TR/Vundo.gen noch einmal :( » Themenansicht

TR/Vundo.gen noch einmal :(
#0
27.09.2006, 18:31
EVilseed
...neu hier

Beiträge: 3
#1 Hi Leute!
Bekomme das Ding einfach nicht weg...
Hijackthis zeigt kein logfile an... Vielleicht schon Folge des Virus. Habe Cleanup wie beschrieben laufen lassen.

Hier das Logfile von Combofix:
http://home.arcor.de/evilseed/ComboFix.txt


Hier das Logfile von datFind:
http://home.arcor.de/evilseed/system32.txt

Der Ubersichtlichkeit halber habe ich die hochgeladen. Die beiden Logfiles haben nicht in einen Post gepasst ;)

Symptome sind der andauernde Aufruf der Website einer sehr seriös Anmutenden Antiviren Firma ;) , sowie ein ständige meckern von Antivir....

Hoffe ihr könnt mir helfen
Vielen Dank schonmal ;)
Dieser Beitrag wurde am 27.09.2006 um 21:33 Uhr von EVilseed editiert.
Seitenanfang Seitenende
27.09.2006, 21:36
Terementor
Member

Beiträge: 130
#2 poste alle 4 logs von datfindbat, wenn ich das richtig seh ist das nur einer ;) lies nochmal anleitung genau

http://virus-protect.org/datfindbat.html
Seitenanfang Seitenende
29.09.2006, 01:05
EVilseed
...neu hier

Themenstarter

Beiträge: 3
#3 Oooops ;) hast natürlich recht...
hier die fehlenden Logs:

http://home.arcor.de/evilseed/sys.txt
http://home.arcor.de/evilseed/system.txt
http://home.arcor.de/evilseed/systemtemp.txt

Verzeichnis von C:\DOKUME~1\Tobias\LOKALE~1\Temp

29.09.2006 01:01 240 datFind.zip
29.09.2006 01:00 45.505 hyoxutoy.dll
28.09.2006 11:38 45.505 dpgwqtpf.dll
28.09.2006 00:42 1.276 wmplog01.sqm
28.09.2006 00:40 1.308 wmplog00.sqm
27.09.2006 18:45 54.272 ginstall.dll


Verzeichnis von C:\WINDOWS\system32

27.09.2006 18:30 675.398 ijllm.ini2
27.09.2006 18:25 676.212 ijllm.bak2
26.09.2006 10:38 655.190 ijllm.bak1
25.09.2006 18:09 143.380 pmjdxvbm.exe
25.09.2006 18:09 45.525 nsparvlo.dll
22.09.2006 16:50 816.392 ijllm.ini
22.09.2006 16:12 805.150 ijllm.tmp
22.09.2006 14:08 2 wtssvsu.exe
16.09.2006 13:22 577.588 mllji.dll

Reicht das??
Vielen Dank!!!

--------
Tobias - 06-09-27 18:27:00,56 Service Pack 2
ComboFix 06.09.27 - Running from: "C:\Dokumente und Einstellungen\Tobias\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Tobias\Eigene Dateien\FNTS~1
C:\QooBox\Purity\Dokumente und Einstellungen\Tobias\Eigene Dateien\SSEMBL~1
C:\QooBox\Purity\Dokumente und Einstellungen\Tobias\Eigene Dateien\FNTS~1\F?nts
C:\QooBox\Purity\Dokumente und Einstellungen\Tobias\Eigene Dateien\SSEMBL~1\n?pdb.exe


((((((((((((((((((((((((((((((( Files Created from 2006-08-27 to 2006-09-27 ))))))))))))))))))))))))))))))))))


2006-09-26 23:15 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-09-25 18:32 9,728 --------- C:\WINDOWS\system32\rwnh.dll
2006-09-25 18:32 9,728 --------- C:\WINDOWS\system32\comsdupd.exe
2006-09-25 18:32 870,784 --------- C:\WINDOWS\system32\ati3d1ag.dll
2006-09-25 18:32 86,016 --------- C:\WINDOWS\system32\mdmxsdk.dll
2006-09-25 18:32 73,832 --------- C:\WINDOWS\system32\slcoinst.dll
2006-09-25 18:32 73,796 --------- C:\WINDOWS\system32\slserv.exe
2006-09-25 18:32 516,768 --------- C:\WINDOWS\system32\ativvaxx.dll
2006-09-25 18:32 397,056 --------- C:\WINDOWS\system32\s3gnb.dll
2006-09-25 18:32 377,984 --------- C:\WINDOWS\system32\ati2dvaa.dll
2006-09-25 18:32 32,866 --------- C:\WINDOWS\system32\slrundll.exe
2006-09-25 18:32 32,866 --------- C:\WINDOWS\slrundll.exe
2006-09-25 18:32 32,768 --------- C:\WINDOWS\system32\ativtmxx.dll
2006-09-25 18:32 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll
2006-09-25 18:32 286,792 --------- C:\WINDOWS\system32\slextspk.dll
2006-09-25 18:32 229,376 --------- C:\WINDOWS\system32\ati2cqag.dll
2006-09-25 18:32 201,728 --------- C:\WINDOWS\system32\ati2dvag.dll
2006-09-25 18:32 188,508 --------- C:\WINDOWS\system32\slgen.dll
2006-09-25 18:32 10,752 --------- C:\WINDOWS\system32\smtpapi.dll
2006-09-25 18:32 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll
2006-09-25 18:32 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2006-09-25 18:09 45,525 --a------ C:\WINDOWS\system32\nsparvlo.dll
2006-09-25 18:09 143,380 --a------ C:\WINDOWS\system32\pmjdxvbm.exe
2006-09-22 21:46 18,944 --a------ C:\WINDOWS\eraser.exe
2006-09-22 16:51 674,021 ---hs---- C:\WINDOWS\system32\ijllm.ini2
2006-09-18 09:46 676,212 ---hs---- C:\WINDOWS\system32\ijllm.bak2
2006-09-16 16:51 2 --a------ C:\WINDOWS\system32\wtssvsu.exe
2006-09-16 13:22 655,190 ---hs---- C:\WINDOWS\system32\ijllm.bak1
2006-09-16 13:22 577,588 --------- C:\WINDOWS\system32\mllji.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-27 18:27 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-27 18:26 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-27 18:22 -------- d-------- C:\Programme\CleanUp!
2006-09-26 23:17 -------- d-------- C:\Programme\Symantec
2006-09-26 23:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-26 23:17 -------- d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Symantec
2006-09-26 23:15 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-26 22:28 -------- d-------- C:\Programme\Steam
2006-09-26 10:37 -------- d-------- C:\Programme\Messenger
2006-09-25 18:32 -------- d-------- C:\Programme\Windows Media Player
2006-09-25 18:09 -------- d-------- C:\Programme\VSToolbar
2006-09-25 18:09 -------- d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\SearchToolbarCorp
2006-09-25 16:57 -------- d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Azureus
2006-09-22 21:47 -------- d-------- C:\Programme\LeechFTP
2006-09-19 19:35 -------- d-------- C:\Programme\ICQ
2006-09-17 12:58 -------- d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Ultimate Cleaner
2006-09-13 16:29 -------- d-------- C:\Programme\eMule.de
2006-09-09 23:10 -------- d-------- C:\Programme\MSN
2006-09-06 17:21 -------- d-------- C:\Programme\SpeedFan
2006-09-01 18:22 -------- d-------- C:\Programme\Motherboard Monitor 5
2006-09-01 18:21 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-01 00:35 -------- d-------- C:\Programme\Futuremark
2006-08-31 00:01 -------- d-------- C:\Programme\Lavalys
2006-08-27 00:48 -------- d-------- C:\Programme\Azureus
2006-08-26 20:44 -------- d-------- C:\Programme\Biet-O-Matic
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-18 15:22 -------- d-------- C:\Programme\PartyGaming.Net
2006-08-14 17:04 -------- d-------- C:\Programme\eMule
2006-08-14 14:32 -------- d---s---- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Microsoft
2006-08-14 14:17 -------- d-------- C:\Programme\Microsoft Games
2006-08-11 21:45 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-08-11 21:45 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-08-11 21:45 5611520 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-08-11 21:45 5251072 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-08-11 21:45 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-08-11 21:45 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-08-11 21:45 3039232 --a------ C:\WINDOWS\system32\nvgames.dll
2006-08-11 21:45 2953216 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-08-11 21:45 2928640 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-08-11 21:45 2904064 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-08-11 21:45 2859008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-08-11 21:45 266240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-08-11 21:45 258048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-08-11 21:45 249856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-08-11 21:45 249856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-08-11 21:45 249856 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-08-11 21:45 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-08-11 21:45 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-08-11 21:45 1732608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-08-11 21:45 1236992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-08-11 21:44 323584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-08-11 21:44 323584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-08-11 21:44 274432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-08-11 21:44 274432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-08-11 21:44 266240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-08-11 21:44 262144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-08-11 21:44 249856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-08-11 21:44 249856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-08-11 21:44 249856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-08-11 21:44 241664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-08-11 21:44 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-08-11 21:43 86016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-08-11 21:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-08-11 21:43 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-08-11 21:43 7630848 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-08-11 21:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-08-11 21:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-08-11 21:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-08-11 21:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-08-11 21:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-08-11 21:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-08-11 21:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-08-11 21:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-08-11 21:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-08-11 21:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-08-11 21:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-08-11 21:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-08-11 21:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-08-11 21:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-08-11 21:43 311296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-08-11 21:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-08-11 21:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-08-11 21:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-08-11 21:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-08-11 21:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-08-11 21:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-08-11 21:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-08-11 21:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-08-11 21:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-08-11 21:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-08-11 21:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-08-11 21:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-08-11 21:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-08-11 21:43 278528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-08-11 21:43 274432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-08-11 21:43 270336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-08-11 21:43 266240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-08-11 21:43 262144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-08-11 21:43 262144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-08-11 21:43 245760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-08-11 21:43 245760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-08-11 21:43 241664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-08-11 21:43 241664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-08-11 21:43 221184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-08-11 21:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-08-11 21:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-08-11 21:43 196608 --a------ C:\WINDOWS\system32\nvapi.dll
2006-08-11 21:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-08-11 21:43 1662976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-08-11 21:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-08-11 21:43 1519616 --a------ C:\WINDOWS\system32\nwiz.exe
2006-08-11 21:43 1470464 --a------ C:\WINDOWS\system32\nview.dll
2006-08-11 21:43 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-08-11 21:43 122880 --a------ C:\WINDOWS\system32\nvrszht.dll
2006-08-11 21:43 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-08-11 21:43 1011712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-08-11 21:42 5636096 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-08-11 21:42 4496128 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-08-11 21:42 3958496 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2006-08-11 21:42 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-08-11 21:42 35840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-08-11 21:42 155715 --a------ C:\WINDOWS\system32\nvsvc32.exe
2006-08-10 23:55 -------- d-------- C:\Programme\Internet Explorer
2006-08-10 23:53 -------- d-------- C:\Programme\Outlook Express
2006-08-10 23:53 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-07-31 00:14 -------- d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\MyPhoneExplorer
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="C:\\Programme\\Creative\\MediaSource\\Detector\\CTDetect.exe /R"
"04b20c0c.exe"="C:\\Dokumente und Einstellungen\\Tobias\\Lokale Einstellungen\\Anwendungsdaten\\04b20c0c.exe"
"Aowu"="\"C:\\DOKUME~1\\Tobias\\EIGENE~1\\FNTS~1\\explorer.exe\" -vt yazb"
"Oyysh"="C:\\Dokumente und Einstellungen\\Tobias\\Eigene Dateien\\?ssembly\\n?pdb.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"AudioDrvEmulator"="\"C:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe\" -1 AudioDrvEmulator \"C:\\Programme\\Creative\\Shared Files\\Module Loader\\Audio Emulator\\AudDrvEm.dll\""
"CTDVDDET"="C:\\Programme\\Creative\\SBAudigy4\\DVDAudio\\CTDVDDET.EXE"
"CTSysVol"="C:\\Programme\\Creative\\SBAudigy4\\Surround Mixer\\CTSysVol.exe /r"
"RCSystem"="\"C:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe\" RCSystem * -Startup"
"CTHelper"="CTHELPER.EXE"
"CTXFIREG"="CTxfiReg.exe"
"DU Meter"="C:\\Programme\\DU Meter\\DUMeter.exe"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"04b20c0c.exe"="C:\\WINDOWS\\system32\\04b20c0c.exe"
"Ultimate Cleaner"="C:\\Programme\\Ultimate Cleaner\\App.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,20,01,00,00,00,00,00,00,80,04,00,00,68,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen�^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmen�\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen�^Programme^Autostart^RWTH Aachen Cisco VPN Client.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmen�\\Programme\\Autostart\\RWTH Aachen Cisco VPN Client.lnk"
"backup"="C:\\WINDOWS\\pss\\RWTH Aachen Cisco VPN Client.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\RWTHAA~1\\CISCOV~1\\vpngui.exe \"-user_logon\""
"item"="RWTH Aachen Cisco VPN Client"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Tobias^Startmen�^Programme^Autostart^Azureus.lnk]
"path"="C:\\Dokumente und Einstellungen\\Tobias\\Startmen�\\Programme\\Autostart\\Azureus.lnk"
"backup"="C:\\WINDOWS\\pss\\Azureus.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Azureus\\Azureus.exe "
"item"="Azureus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ABIT uGuru]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="uGuru"
"hkey"="HKLM"
"command"="C:\\Programme\\ABIT\\ABIT uGuru\\uGuru.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AnyDVD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AnyDVD"
"hkey"="HKLM"
"command"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BullsEye Network]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bargains"
"hkey"="HKLM"
"command"="C:\\Programme\\BullsEye Network\\bin\\bargains.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CloneDVDElbyDelay]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneDVD\\ElbyCheck.exe\" /L ElbyDelay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DU Meter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DUMeter"
"hkey"="HKLM"
"command"="C:\\Programme\\DU Meter\\DUMeter.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ElbyCheckAnyDVD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\SlySoft\\AnyDVD\\ElbyCheck.exe\" /L AnyDVD"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\GuruClock]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GuruClock"
"hkey"="HKLM"
"command"="C:\\Programme\\ABIT\\ABIT uGuru\\GuruClock.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Mirabilis ICQ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQNet"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ICQ\\ICQNet.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NaviSearch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nls"
"hkey"="HKLM"
"command"="C:\\Programme\\NaviSearch\\bin\\nls.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RaidTool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="raid_tool"
"hkey"="HKLM"
"command"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UpdReg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UpdReg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\UpdReg.EXE"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllji
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpsa32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 27.09.2006 18:27:30.40
ComboFix.txt
Seitenanfang Seitenende
29.09.2006, 01:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 +
Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 01:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 1.
scanne mit Vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision
HKEY_CURRENT_USER\Software\Search Toolbar Corp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{821F87FF-8245-4972-9E28-732E92EC2F51}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllji
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpsa32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NaviSearch

Files to delete:
C:\WINDOWS\system32\04b20c0c.exe
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\04b20c0c.exe
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\hyoxutoy.dll
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\dpgwqtpf.dll
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\ginstall.dll
C:\WINDOWS\system32\ijllm.ini2
C:\WINDOWS\system32\ijllm.bak2
C:\WINDOWS\system32\ijllm.bak1
C:\WINDOWS\system32\pmjdxvbm.exe
C:\WINDOWS\system32\nsparvlo.dll
C:\WINDOWS\system32\ijllm.ini
C:\WINDOWS\system32\ijllm.tmp
C:\WINDOWS\system32\wtssvsu.exe
C:\WINDOWS\system32\mllji.dll

Folders to delete:
C:\Programme\Ultimate Cleaner
C:\Programme\VSToolbar
C:\Programme\NaviSearch
C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Ultimate Cleaner
C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\SearchToolbarCorp
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 02:10
EVilseed
...neu hier

Themenstarter

Beiträge: 3
#6 Hi Sabina

Hier der Avenger Log:

Zitat

C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\04b20c0c.exe
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\hyoxutoy.dll deleted successfully.
File C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\dpgwqtpf.dll deleted successfully.
File C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\ginstall.dll deleted successfully.
File C:\WINDOWS\system32\ijllm.ini2 deleted successfully.
File C:\WINDOWS\system32\ijllm.bak2 deleted successfully.
File C:\WINDOWS\system32\ijllm.bak1 deleted successfully.
File C:\WINDOWS\system32\pmjdxvbm.exe deleted successfully.


File C:\WINDOWS\system32\nsparvlo.dll not found!
Deletion of file C:\WINDOWS\system32\nsparvlo.dll failed!

Could not process line:
C:\WINDOWS\system32\nsparvlo.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ijllm.ini deleted successfully.
File C:\WINDOWS\system32\ijllm.tmp deleted successfully.
File C:\WINDOWS\system32\wtssvsu.exe deleted successfully.
File C:\WINDOWS\system32\mllji.dll deleted successfully.


Folder C:\Programme\Ultimate Cleaner not found!
Deletion of folder C:\Programme\Ultimate Cleaner failed!

Could not process line:
C:\Programme\Ultimate Cleaner
Status: 0xc0000034

Folder C:\Programme\VSToolbar deleted successfully.


Folder C:\Programme\NaviSearch not found!
Deletion of folder C:\Programme\NaviSearch failed!

Could not process line:
C:\Programme\NaviSearch
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Ultimate Cleaner deleted successfully.
Folder C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\SearchToolbarCorp deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{821F87FF-8245-4972-9E28-732E92EC2F51} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{821F87FF-8245-4972-9E28-732E92EC2F51} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Y1123Oin failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllji deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpsa32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NaviSearch deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Ist er jetzt sauber?
Die nervenden Popups sind auf jeden Fall weg, und Qntivir findet nur noch im Backup von Avenger etwas...
Kann ich das Backup file löschen? Ja oder?
Reicht Antivir damit mir sowas nicht nochmal pasiert??
Hatte bis jetzt immer Norton drauf, das lief ab als ich im Urlaub war, und zack hatte ich den TR/Vundo drauf weil mein Mitbewohner gesurft ist... (KA wo ;) )

Auf jeden Fall vielen Dank für die super Hilfe hier! Thumbs Up ;)
Dieser Beitrag wurde am 29.09.2006 um 02:14 Uhr von EVilseed editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1