Home » Viren, Trojaner & Malware Forum » Virus Burst - Critical System Error » Themenansicht

Virus Burst - Critical System Error
#0
11.10.2006, 11:26
Sardine
...neu hier

Beiträge: 6
#16 Liebe Sabina,

hab Geduld mit einer armen Hausfrau. :o(
Hab den Hijack geöffnet. Aber wo klicke ich die Malware an? Steht das da irgendwo? Ich weiss nicht, was ich anhaken soll...:o(

Hier aber der Texteditor nach dem Durchlauf: (im schwarzen Fenster steht: "Datei nicht gefunden..)
Dann öffnete sich ein weisses Fenster: find - editor:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0848-996B

...und jetzt mach ich das andere, oder?
Seitenanfang Seitenende
11.10.2006, 12:02
Miglena
...neu hier

Themenstarter

Beiträge: 5
#17 Hallo, Sabina!

By Avenger gab es einen Error:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{202A961F-23AE-42B1-9505-FFE3C818D717}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\CLSID\{b166be07-30a4-4d38-b781-44528a630706}

Aber sonst:


*******************

Beginning to process script file:

File C:\WINDOWS\system32\gqagksr.dll deleted successfully.
Folder C:\Programme\SoftCodec deleted successfully.


Folder C:\Programme\VirusBurster not found!
Deletion of folder C:\Programme\VirusBurster failed!

Could not process line:
C:\Programme\VirusBurster
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A569F6C9-29F0-43BC-80CF-6BA138C66108} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A569F6C9-29F0-43BC-80CF-6BA138C66108} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusburster.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusburster.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBurster not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBurster failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBurster not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\VirusBurster failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b166be07-30a4-4d38-b781-44528a630706} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

SmitFraudifix-Rapport:

SmitFraudFix v2.109

Scan done at 11:41:18,24, 11.10.2006 Ј.
Run from C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b166be07-30a4-4d38-b781-44528a630706}"="hydrodictyon"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Der Button blinkt nicht mehr auf der Taskleiste. Bei Hijack This konnte ich nur
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
loeschen, da die anderen Dateien nicht (mehr) im Verezeichniss waren. Hier die Hijack-Ergebnisse, bevor ich die oben genannten Dateien geloescht habe>

Logfile of HijackThis v1.99.1
Scan saved at 11:50:49, on 11.10.2006 г.
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis.exe

R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: FlexType 2K.lnk = C:\WINDOWS\Datecs\Flex2K.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {0A0FD216-C784-11D3-8B73-0050DA3B3FE5} (ActiveFormX Element) - http://www.freeoffice.de/views/import/CASUpload.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/Bridge-c106.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110800738873
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

Gruesse, Meggi
Seitenanfang Seitenende
11.10.2006, 13:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Miglena

fixe mit dem HijacktHis:

Zitat

R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/Bridge-c106.cab
PC neustarten

++
mache die Windowsupdates - lade SP2 (ich verstehe nicht, wie du dich ohne ins internet traust ;)

++
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
(wenn der panda nicht funktioniert, scanne mit Trend Micro Anti-Spyware for the Web
)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 13:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Sardine

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {4241685B-671F-DE1D-E79A-E2EF9A78CF35} - (no file)

O4 - HKLM\..\Run: [hdwi3.exe] C:\WINDOWS\Temp\hdwi3.exe

O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - (no file)


__________________________________________________________________


ich mache mir Sorgen um diesen Eintrag...das ist auf keinen fall koscher !!!!!!!!!!!
O23 - Service: UpdTec - Unknown owner - C:\:Igy.exe

deshalb:

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

UpdTec

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn


in: "Enter search strings" (reinschreiben oder reinkopieren)

Igy.exe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 14:26
Miglena
...neu hier

Themenstarter

Beiträge: 5
#20 Hi Sabina,

den SP2 kann ich in der Regel nicht unterladen, da er meine Windows-Nummer oder keine Ahnung was als falsch oder nicht gueltig erkennt.
Wenn du auch eine Loesung dieses Problems hast, wuerde ich mich freuen.

Trend Micro Antispyware fuers Web:

Summary of Privacy Thread:

57 item(s) classified as Adware
1 item(s) classified as Tracking Cookie
1 item(s) classified as Parasite

Weiss nicht wie ich sonmst die Ergebnisse poste:
Alles scheint boeses Spyware zu sein, nur hat er auch das Programm Flashget als Adware gefunden, soll ich es loeschen? Und SmitFraudFix erkennt er auch als....Parasit!?

Cookie_InsightExpressAI
insightexpressai.com

Adware_Cydoor
Ad System
http://www.cydoor.com/

Adware_WhenU
WeatherCast, Save!, SaveNow, FirstLook, ClockSync, WhenUSearch, DownloadApp, Save! Setup, Searchforit Toolbar, Search Assistant, VVSN, WhenUSearch Update, search.cch, BHO, desktop, EmbedSE Module, PBToolbar
http://www.whenu.com/

Adware_Gain
Precision Time/Date, GAIN, Trickler, CMESys, Gator, PrecisionTime, Date Manager, E-Wallet, Weatherscope, CMEII, Dashbar, WebSecureAlert, PercisionTime, DashBar Toolbar Module, Cookie
http://www.claria.com/

Adware_FlashGet

Adware_WindUpdates.MediaTickets
MediaTicker, MediaTicket

Adware_Altnet
Altnet Sharing Manager, Altnet Download Manager, Peer Points Manager, TopSearch, Altnet, ADM, ASM, ADMFdi
http://www.altnet.com/

Freeloader_Smitfraud

Die genauen Pfade und Dateien kann ich nicht kopieren und einfuegen. Soll ich alles loeschen?

Gruesse,
Meggi
Dieser Beitrag wurde am 11.10.2006 um 14:32 Uhr von Miglena editiert.
Seitenanfang Seitenende
11.10.2006, 14:41
Sardine
...neu hier

Beiträge: 6
#21 Hallo Sabina,

...ein paar Worte am Rande: hast Du schon einen Heiligenschein?? Wo nimmst Du die Geduld her jedem (immer wieder) bei den gleichen Problemen zu helfen?

Im Moment jedenfalls scheinen alle (sichtbaren) Probleme behoben zu sein.
Wo lernt man denn die Logfiles zu lesen?

Wir wohnen in Italien u. ich sitze hier am Fenster mit Meerblick. Falls Du mal "Reif für die Insel" bist, meld Dich gern wieder!! :o)

Zur Zeit überprüft das Bobby F. Programm den PC: scheint etwas zu dauern...
aber der PANDA AV fand das Programm wohl nicht so klasse. Hat ihn erstmal versucht zu blocken.
Meld mich dann mit dem Logfile

...so, jetzt ging das Fenster auf: Ergebnis: "UpdTec"

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.10.2006 14:33:35 for strings:
; 'updtec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDTEC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDTEC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDTEC\0000]
"Service"="UpdTec"
"DeviceDesc"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDTEC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDTEC\0000\Control]
"ActiveService"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec]
"DisplayName"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec\Enum]
"0"="Root\\LEGACY_UPDTEC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDTEC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDTEC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDTEC\0000]
"Service"="UpdTec"
"DeviceDesc"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdTec]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdTec]
"DisplayName"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdTec\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC\0000]
"Service"="UpdTec"
"DeviceDesc"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC\0000\Control]
"ActiveService"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec]
"DisplayName"="UpdTec"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec\Enum]
"0"="Root\\LEGACY_UPDTEC\\0000"

; End Of The Log...


LG Sarda (=Sardine)

....und hier das zweite Ergebnis von "Igy.exe"
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.10.2006 14:47:07 for strings:
; 'igy.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec]
; Contents of value:
; "c:\:igy.exe"
"ImagePath"=hex(2):22,43,3a,5c,3a,49,67,79,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdTec]
; Contents of value:
; "c:\:igy.exe"
"ImagePath"=hex(2):22,43,3a,5c,3a,49,67,79,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec]
; Contents of value:
; "c:\:igy.exe"
"ImagePath"=hex(2):22,43,3a,5c,3a,49,67,79,2e,65,78,65,22,00

; End Of The Log...


Vielen Dank nochmal.
Dieser Beitrag wurde am 11.10.2006 um 14:58 Uhr von Sardine editiert.
Seitenanfang Seitenende
11.10.2006, 15:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Miglena

Zitat

Die genauen Pfade und Dateien kann ich nicht kopieren und einfuegen. Soll ich alles loeschen?
klar...alles loeschen !!

wenn du die Windowsupdates laedst ..und du bist dir sicher , eine legale XP-Version zu haben,aber die Fehlermeldung kommt... kanst du ueber die Hotline von Microsoft einen neuen Schluessel anfordern.
Wenn du allerdings keine legale gekaufte version besitzt, musst du dir wohl oder uebel eine legale besorgen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 15:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Sardine

poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

Gruss vom Atlantik, aus Portugal ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 16:37
grizzli
...neu hier

Beiträge: 3
#24 Hi Sabina

Habe Schritt für Schritt abgearbeitet.
Hier die Resultate des AVG Scan:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 16:24 06-10-11

+ Scan-Ergebnis:



HKU\S-1-5-21-1328722637-1222127864-3905130947-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5} -> Adware.Generic : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0455263.dll -> Adware.ProtectionBar : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP336\A0454174.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0454222.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0455222.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0455248.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0455264.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0455270.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0455271.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP337\A0455272.exe -> Downloader.Zlob.aoy : Gesäubert.
C:\System Volume Information\_restore{FE4C43CE-462B-43C7-AEBD-EDDE88D8DE1A}\RP308\A0443798.dll -> Downloader.Zlob.wa : Gesäubert.
:mozilla.33:C:\Dokumente und Einstellungen\Schibli Marc\Anwendungsdaten\Mozilla\Firefox\Profiles\tvzzdczm.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert.
C:\Dokumente und Einstellungen\Schibli Marc\Cookies\schibli marc@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\Schibli Marc\Anwendungsdaten\Mozilla\Firefox\Profiles\tvzzdczm.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert.
C:\Dokumente und Einstellungen\Schibli Marc\Cookies\schibli marc@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert.


::Berichtende

Wie steht es nun um meinen PC? Vordergründig ist alles io. Das hat jedoch bekanntlicherweise nicht viel zu bedeuten.

Grüsse grizzli
Seitenanfang Seitenende
11.10.2006, 20:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 grizzli

es ist wieder alles o.k. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 20:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 sarda

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDTEC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDTEC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdTec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec

Files to delete:
c:\:igy.exe
**
poste das log vom Avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 08:24
Sardine
...neu hier

Beiträge: 6
#27 Hallo Sabina: das Ergebnis des Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rcdwcrnm

*******************

Script file located at: \??\C:\WINDOWS\system32\mdpkkuju.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDTEC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdTec deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDTEC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdTec deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDTEC
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdTec
Status: 0xc0000034



Could not delete file c:\:igy.exe
Deletion of file c:\:igy.exe failed!

Could not process line:
c:\:igy.exe
Status: 0xc0000033


Completed script processing.

*******************

Finished! Terminate.

LG
Seitenanfang Seitenende
12.10.2006, 09:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Sardine

der Avenger hat die exe nicht loeschen koennen, ich weiss nicht warum, vielleicht ist der pfad nicht korrekt ;)

Pocket KillBox
http://virus-protect.org/killbox.html
Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"
reinkopieren: ..

c:\:igy.exe

PC eustarten
berichte, ob du diese exe loeschen konntest.

dann versuche es mit : c:\igy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 12:07
Sardine
...neu hier

Beiträge: 6
#29 Hallo nach Portugal. Dann bist wohl doch nicht reif für die Insel...:o)
umso besser.
Also: hab mich vorgetastet: hab bei der "killbox" c:\igy.exe eingegeben u. hoffe, alles richtig gemacht.
Jetzt hab ich neugestartet u. WO muss ich suchen? Bei Start- Suchen anklicken? Oder im Hijack nochmal?

LG
Seitenanfang Seitenende
12.10.2006, 12:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 sardine

suche in C:\!KillBox\ - schreib, was du dort findest
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123