Virus Burst(Critical system error)

#1 nuuun, ich komme gestern nach hause und siehe da: Virus Burst..hmm, denke ich mir,was könnte es sein. dann sehe ich , dass jemand im internet war in meiner abwesenheit... nun,ich bin zwar kein n00b mehr,aber das war mir jetzt auch neu.

Zitat

1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

2,
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren

-> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3

Monate ab)
http://virus-protect.org/datfindbat.html

4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

1.

DonKapone - 06-10-04 1:34:12,31 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Downloads\ANTI"

((((((((((((((((((((((((((((((( Files Created from 2006-09-04 to 2006-10-04

))))))))))))))))))))))))))))))))))


2006-10-03 23:49 147,456 --a------

C:\WINDOWS\system32\gqagksr.dll
2006-09-12 22:40 31,616 --a------

C:\WINDOWS\system32\drivers\usbccgp.sys
2006-09-12 18:22 6,176 --a------

C:\WINDOWS\system32\drivers\w810cm.sys
2006-09-12 18:22 5,808 --a------

C:\WINDOWS\system32\drivers\w810wh.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report

)))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-03 23:48 -------- d-------- C:\Programme\FlashGet
2006-10-03 22:36 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-03 13:56 -------- d-------- C:\Programme\NetLCR
2006-09-29 15:01 -------- d-------- C:\Programme\ICQ
2006-09-27 21:47 -------- d-------- C:\Programme\NetMeeting
2006-09-27 21:34 -------- d-------- C:\Dokumente und

Einstellungen\DonKapone\Anwendungsdaten\MSN6
2006-09-12 22:11 -------- d-------- C:\Programme\Disc2Phone
2006-09-12 22:02 -------- d-------- C:\Dokumente und

Einstellungen\DonKapone\Anwendungsdaten\Sony Ericsson
2006-09-12 18:27 -------- d-------- C:\Dokumente und

Einstellungen\DonKapone\Anwendungsdaten\Teleca
2006-09-12 18:25 -------- d-------- C:\Programme\Gemeinsame

Dateien\Teleca Shared
2006-09-12 18:24 -------- d-------- C:\Programme\Sony Ericsson
2006-09-12 18:24 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-12 18:21 -------- d-------- C:\Programme\Gemeinsame

Dateien\InstallShield
2006-09-05 09:56 -------- d-------- C:\Programme\Gemeinsame

Dateien\Blizzard Entertainment
2006-09-03 05:18 -------- d-------- C:\Programme\Warcraft III
2006-09-01 23:03 -------- d-------- C:\Programme\ArtMoney
2006-09-01 19:12 967658 --a------ C:\WINDOWS\Tomb Raider

Screensaver.exe
2006-09-01 19:12 40960 --a------ C:\WINDOWS\Tomb Raider

Screensaver.dll
2006-09-01 19:12 401184 --a------ C:\WINDOWS\Tomb Raider

Screensaver.scr
2006-09-01 19:07 -------- d-------- C:\Programme\eJay
2006-08-27 20:10 -------- d-------- C:\Programme\Winamp
2006-08-27 16:05 -------- d-------- C:\Programme\Phototool
2006-08-26 14:17 -------- d-------- C:\Dokumente und

Einstellungen\DonKapone\Anwendungsdaten\Media Player Classic
2006-07-27 16:16 2829 --a------ C:\WINDOWS\War3Unin.pif
2006-07-27 16:16 139264 --a------ C:\WINDOWS\War3Unin.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points

))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"nod32kui"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"Mirabilis ICQ"="C:\\PROGRA~1\\ICQ\\ICQNet.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet

Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet

Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,d0,01,00,00,00,00,00,00,30,03,00,00,e2,03,00,00,00,

\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02

,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explor

er\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policie

s\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policie

s\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policie

s\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\polici

es\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServi

ceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"hydrodictyon"="{b166be07-30a4-4d38-b781-44528a630706}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared

Tools\MSCONFIG\Startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 04.10.2006 1:35:06.39
ComboFix.txt

2.
system32.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4F0-DDBF

Verzeichnis von C:\WINDOWS\system32

03.10.2006 23:49 147.456 gqagksr.dll
28.09.2006 22:49 1.374 wpa.dbl
23.09.2006 15:12 120.872 MSForms.TWD
31.07.2006 17:02 4.096 crash
29.07.2006 05:26 1.100 d3d8caps.dat
28.07.2006 14:41 380.350 perfh009.dat
28.07.2006 14:41 52.764 perfc009.dat
28.07.2006 14:41 390.960 perfh007.dat
28.07.2006 14:41 63.576 perfc007.dat
28.07.2006 14:41 897.954 PerfStringBackup.INI
07.07.2006 00:30 47 imon1.dat

systemp.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4F0-DDBF

Verzeichnis von C:\DOKUME~1\DONKAP~1\LOKALE~1\Temp

04.10.2006 00:45 16.384 Perflib_Perfdata_710.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 627.355.648 Bytes frei

system.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4F0-DDBF

Verzeichnis von C:\WINDOWS

04.10.2006 01:43 13.280 ModemLog_SupraMAX 56i #2.txt
04.10.2006 00:42 0 0.log
04.10.2006 00:42 159 wiadebug.log
04.10.2006 00:42 50 wiaservc.log
04.10.2006 00:41 2.048 bootstat.dat
04.10.2006 00:41 1.620.933 WindowsUpdate.log
04.10.2006 00:41 32.544 SchedLgU.Txt
04.10.2006 00:20 113.920 ntbtlog.txt
04.10.2006 00:20 524 win.ini
04.10.2006 00:20 274 system.ini
29.09.2006 19:59 42 ЂЈв ЉаЁбвЁ.pls
29.09.2006 19:59 42 mdv736.pls
29.09.2006 15:37 7.680 Thumbs.db
26.09.2006 20:20 69 NeroDigital.ini
25.09.2006 22:07 42 „„’.pls
25.09.2006 22:01 110 winamp.ini
12.09.2006 22:47 763.787 setupapi.log
12.09.2006 18:24 104.846 DPINST.LOG
07.09.2006 02:13 34 cdplayer.ini
05.09.2006 11:26 42 ‹оЎн.pls
01.09.2006 19:12 967.658 Tomb Raider Screensaver.exe
01.09.2006 19:12 401.184 Tomb Raider Screensaver.scr
01.09.2006 19:12 40.960 Tomb Raider Screensaver.dll
01.09.2006 19:12 18.192 Tomb Raider Screensaver.dat
31.08.2006 16:02 3.932.214 ACD Wallpaper.cmp
13.08.2006 03:42 1.819 TSearch.INI
12.08.2006 19:28 206 EurekaLog.ini
28.07.2006 14:45 46.058 wmsetup.log
28.07.2006 14:45 1.855 OEWABLog.txt
28.07.2006 14:29 62.489 War3Unin.dat
27.07.2006 16:16 2.829 War3Unin.pif
27.07.2006 16:16 139.264 War3Unin.exe
27.07.2006 00:22 331 nsw.log
25.07.2006 15:30 17 Missing.ini
24.07.2006 02:11 171.853 setupact.log
11.07.2006 16:15 8.761 matrixcode.log
11.07.2006 16:15 8.542 matrixcode_fs.log

sys.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4F0-DDBF

Verzeichnis von C:\

04.10.2006 01:44 0 sys.txt
04.10.2006 01:44 10.581 system.txt
04.10.2006 01:43 308 systemtemp.txt
04.10.2006 01:43 105.959 system32.txt
04.10.2006 01:35 5.924 ComboFix.txt
04.10.2006 00:41 805.306.368 pagefile.sys
04.10.2006 00:20 211 boot.ini
02.10.2006 16:09 10 yotznh.via
18.08.2006 08:23 304 default.m3u

4.

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E4F0-DDBF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

10.11.2005 15:05 876 jinstall-1_5_0_06.inf
26.08.2005 15:57 495 LegitCheckControl.inf
27.03.2006 13:00 5.019 swflash.inf
26.05.2005 04:19 291 wuweb.inf
4 Datei(en) 6.681 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 6.681 Bytes
0 Verzeichnis(se), 627.351.552 Bytes frei


vielen dank im voraus.

#2 1.
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"horologium"="{7be183d2-a42d-4915-bf60-ec86fbf002cf}" -> loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7be183d2-a42d-4915-bf60-ec86fbf002cf}"="horologium" -> loeschen


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}

Files to delete:
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\system32\gqagksr.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 1.
[...\ShellServiceObjectDelayLoad]

da gibts kein horologium mit diesem wert, da gibts nur:

CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9}

hydrodictyon {b166be07-30a4-4d38-b781-44528a630706}

PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9}

SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153}

WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

[...\Explorer\SharedTaskScheduler]

hier ist es leer

2.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rcnrapix

*******************

Script file located at: \??\C:\WINDOWS\pbaterht.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\imon1.dat deleted successfully.
File C:\WINDOWS\system32\gqagksr.dll deleted successfully.


Registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7be183d2-a42d-4915-bf6

0-ec86fbf002cf} not found!
Deletion of registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7be183d2-a42d-4915-bf6

0-ec86fbf002cf} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


3.

Mein NOD32 sagt,dass smitfraudfix ein virus ist. habs ignoriert, hier log:

SmitFraudFix v2.105

Scan done at 20:23:40,78, 05.10.2006
Run from C:\Downloads\ANTI\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\DonKapone


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und

Einstellungen\DonKapone\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DONKAP~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


alles hat einwandfrei funktioniert. ich danke herzlichst!! und meine kleine schwester
(sie ist 17) kommt nicht mehr an meinen pc heran. sie hat erzählt, dass sie
gechatet hat und in irgendeinem chat auf irgendeinen link gedrückt hat -.- ..oo man, diese kinder....

#4 [...\ShellServiceObjectDelayLoad]

"hydrodictyon"="{b166be07-30a4-4d38-b781-44528a630706}" -> das muss rausgeloescht werden

und alle {b166be07-30a4-4d38-b781-44528a630706} - die du noch findest.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 kann man den avenger so einstellen,dass er selber die {b166be07-30a4-4d38-b781-44528a630706} findet? z.B. so:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b166be07-30a4-4d38-b781-44528a630706}

oder: *\{b166be07-30a4-4d38-b781-44528a630706} ?? ich mein mit '*' .

edit: habe alles,was ich gefunden habe, selbst entfernt

#6 loesche das direkt in der Registry, denn irgendwie bekomme ich es im Avenger mit

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hydrodictyon"="{b166be07-30a4-4d38-b781-44528a630706}"

nicht hin

das klappt im Avenger:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b166be07-30a4-4d38-b781-44528a630706}

__________
MfG Sabina

rund um die PC-Sicherheit

#7 ok, alles klar
danke

alles manuell entfernt.. gibts da noch einen checker,der alles endgültig überprüfen kann? mit der neuesten database?

#8 smitfraudfix und ich haben im Grunde alles rausgeholt, aber wenn du willst, scanne:
http://virus-protect.org/artikel/tools/superantispyware.html
und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Also, auch ich bin geschädigt...
vielen Dank für Eure Hilfe, hier mein combofix_log:

Besitzer - 06-10-08 13:37:04.03 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Besitzer\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-08 to 2006-10-08 ))))))))))))))))))))))))))))))))))


2006-10-07 19:23 147,456 --a------ C:\WINDOWS\system32\gqagksr.dll
2006-10-02 21:04 806,912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-10-02 21:04 806,912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-10-02 21:04 790,528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-10-02 21:04 635,486 --a------ C:\WINDOWS\system32\DivX.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-08 11:13 125 ---hs---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\.zreglib
2006-10-08 09:42 -------- d-------- C:\Programme\VirusBurster
2006-10-07 19:19 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DivX
2006-10-07 16:52 -------- d-------- C:\Programme\Browser
2006-10-05 13:31 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Canon
2006-09-30 20:06 -------- d-------- C:\Programme\CHIP Powertool
2006-09-30 20:03 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\S.A.D
2006-09-30 20:01 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-30 18:18 -------- d-------- C:\Programme\Tools
2006-09-27 19:46 -------- d-------- C:\Programme\eMule.de
2006-09-27 19:44 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-27 19:42 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-27 13:09 -------- d-------- C:\Programme\321Studios
2006-09-10 15:20 -------- d-------- C:\Programme\VIA Technologies, Inc
2006-09-10 13:30 -------- d-------- C:\Programme\Spiele
2006-09-06 20:27 31248 --a------ C:\WINDOWS\system32\drivers\tmpreflt.sys
2006-09-06 20:27 197648 --a------ C:\WINDOWS\system32\drivers\tmxpflt.sys
2006-09-06 20:09 1051456 --a------ C:\WINDOWS\system32\drivers\VsapiNT.sys
2006-09-04 21:35 -------- d-------- C:\Programme\PC Inspector File Recovery
2006-09-03 18:23 -------- d-------- C:\Programme\Trend Micro
2006-09-03 13:21 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-09-03 00:16 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-08-30 00:13 -------- d-------- C:\Programme\Windows Media Player
2006-08-30 00:12 -------- d-------- C:\Programme\ArcSoft
2006-08-29 21:10 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AdobeUM
2006-08-26 13:08 -------- d-------- C:\Programme\Canon
2006-08-25 07:47 -------- d-------- C:\Programme\Codec Pack - All In 1
2006-08-25 07:46 737280 --a------ C:\WINDOWS\iun6002.exe
2006-08-18 03:58 20096 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2006-08-11 01:03 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-08-11 01:03 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-07-27 19:28 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-07-12 01:40 520192 --a------ C:\WINDOWS\system32\DivXsm.exe
2006-07-12 01:40 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-07-12 01:40 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-07-12 00:54 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2006-07-12 00:54 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-07-12 00:54 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2006-07-12 00:54 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-07-12 00:54 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-07-12 00:54 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-07-12 00:33 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2006-07-12 00:33 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=""
"skyDSLClient"="C:\\Programme\\TELES\\skyDSL\\tskyclnt.exe -q"
"Koppelpuls Client"="C:\\Programme\\TELES\\skyDSL\\tkpclnt.exe -skydsl"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"pccguide.exe"="\"C:\\Programme\\Trend Micro\\Internet Security 12\\pccguide.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,1f,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoRecentDocsHistory"=dword:00000001
"NoActiveDesktop"=hex:00,00,00,00
"NoSaveSettings"=hex:00,00,00,00
"ClearRecentDocsOnExit"=dword:00000001
"NoCDBurning"=dword:00000001
"FoFileAssociate"=dword:00000000
"StartMenuLogoff"=dword:00000001
"NoShellSearchButton"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000001
"HideClock"=dword:00000000
"NoRecentDocsMenu"=dword:00000001
"NoFolderOptions"=dword:00000000
"NoUserNameInStartMenu"=dword:00000000
"NoRecentDocsNetHood"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoSharedDocuments"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\SoftCodec\\isamonitor.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"hydrodictyon"="{b166be07-30a4-4d38-b781-44528a630706}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
@=""
"AnyDVD"="\"C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk.disabled]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat - Schnellstart.lnk.disabled"
"backup"="C:\\WINDOWS\\pss\\Adobe Acrobat - Schnellstart.lnk.disabledCommon Startup"
"location"="Common Startup"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat - Schnellstart.lnk.disabled"
"item"="Adobe Acrobat - Schnellstart.lnk"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk.disabled]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BlueSoleil.lnk.disabled"
"backup"="C:\\WINDOWS\\pss\\BlueSoleil.lnk.disabledCommon Startup"
"location"="Common Startup"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BlueSoleil.lnk.disabled"
"item"="BlueSoleil.lnk"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-10-08 13:38:01.32
ComboFix.txt
ComboFix2.txt
ComboFix3.txt

#10 toscho

Gehe in die Registry
Start -Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
isamonitor.exe - loeschen

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hydrodictyon"="{b166be07-30a4-4d38-b781-44528a630706}" -> loeschen

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
\??\C:\Programme\VideosCodec\pmsngr.exe -> loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
{b166be07-30a4-4d38-b781-44528a630706} -> loeschen

_________
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A569F6C9-29F0-43BC-80CF-6BA138C66108}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b166be07-30a4-4d38-b781-44528a630706}

Files to delete:
C:\WINDOWS\system32\gqagksr.dll
C:\Temp\vb_distrib.exe
C:\Temp\vb_distrib(2).exe

Folders to delete:
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~nsu.tmp
C:\Programme\VirusBurster

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
lösche das backup vom Avenger, unter C:\Avenger\backup.zip

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#11 DU willst sicher den Rapport:

SmitFraudFix v2.105

Scan done at 23:56:42,70, 08.10.2006
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#12 toscho

es muesste alles wieder in Ordnung sein...oder ?
__________
MfG Sabina

rund um die PC-Sicherheit

#13

Zitat

Sabina postete
toscho

es muesste alles wieder in Ordnung sein...oder ?

Ich glaube ja... hatte vorher schon von Hand ein paar Dinge in Dateistruktur und Registry gekillt, da sah es auch schon in Ordnung aus, war aber wohl nur halbe arbeit. Auf jeden Fall blinkt nichts mehr. Warten wirs ab.

Vielen lieben Dank auf jeden Fall für Deine Hilfe.

toscho