Datei mit TR/Vundo.Gen infiziert, lässt sich nicht löschen!

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.10.2006, 13:31
...neu hier

Beiträge: 4
#1 Hallo erstmal,
wie so viele hab auch ich das Problem dass eine Sytemdatei mit dem TR/Vundo.Gen Trojaner infiziert ist. Datei heisst cbawt.dll , im System32 Ordner

Bin Absoluter PC-Noob, brauche schnelle Hilfe!!

Zum Schluss noch das HijackThis Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 13:32:33, on 11.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{124E7CBB-E27C-450E-B001-91A42A3D1F60}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2534C49-84F2-44B8-970C-EB9B9916FD2B}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{124E7CBB-E27C-450E-B001-91A42A3D1F60}: NameServer = 192.168.123.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{124E7CBB-E27C-450E-B001-91A42A3D1F60}: NameServer = 192.168.123.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{124E7CBB-E27C-450E-B001-91A42A3D1F60}: NameServer = 192.168.123.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Seitenanfang Seitenende
11.10.2006, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 16:56
...neu hier

Themenstarter

Beiträge: 4
#3 k, danke schonmal
Hier die Ergebnisse von Datfind.bat:

Datentr„ger in Laufwerk C: ist win
Volumeseriennummer: 43AD-DBD5

Verzeichnis von C:\WINDOWS\system32

11.10.2006 16:51 670.648 twabc.ini2
11.10.2006 16:48 43.573 nvapps.xml
11.10.2006 00:05 81.984 bdod.bin
10.10.2006 22:38 800.023 twabc.bak2
07.10.2006 13:03 2.206 wpa.dbl
30.09.2006 22:36 31 getfile.dat
30.09.2006 20:39 698.459 twabc.ini
30.09.2006 19:45 696.522 twabc.tmp
30.09.2006 16:37 4.286 ot.ico
29.09.2006 22:03 86.068 laieedoj.dll
29.09.2006 22:03 143.380 fekaucls.exe
29.09.2006 18:54 577.588 cbawt.dll
10.09.2006 11:18 117.360 FNTCACHE.DAT
07.09.2006 12:54 57.384 avsda.dll
21.08.2006 21:38 124.688 MSWINSCK.OCX
29.07.2006 19:32 48.936 sirenacm.dll
25.07.2006 21:18 16 RgsdData.dat
14.07.2006 17:38 332.288 netapi32.dll


Datentr„ger in Laufwerk C: ist win
Volumeseriennummer: 43AD-DBD5

Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp

11.10.2006 16:50 289 datFind.zip
1 Datei(en) 289 Bytes
0 Verzeichnis(se), 15.781.322.752 Bytes frei



Datentr„ger in Laufwerk C: ist win
Volumeseriennummer: 43AD-DBD5

Verzeichnis von C:\WINDOWS

11.10.2006 16:47 1.541.595 WindowsUpdate.log
11.10.2006 16:14 95 winamp.ini
11.10.2006 15:06 2.359.350 Firefox Wallpaper.bmp
11.10.2006 12:43 0 0.log
11.10.2006 12:43 159 wiadebug.log
11.10.2006 12:43 50 wiaservc.log
11.10.2006 12:42 2.048 bootstat.dat
11.10.2006 12:41 32.592 SchedLgU.Txt
11.10.2006 01:13 2.529.354 ntbtlog.txt
10.10.2006 21:44 188 wb.ini
04.10.2006 11:45 5.645 KB917953.log
04.10.2006 11:45 8.751 KB890046.log
04.10.2006 11:45 9.563 KB920872.log
04.10.2006 11:44 8.637 KB919007.log
04.10.2006 11:44 8.934 KB914388.log
04.10.2006 11:44 8.636 KB899587.log
04.10.2006 11:44 8.776 KB885835.log
04.10.2006 11:44 3.941 KB920683.log
04.10.2006 11:43 8.514 KB885836.log
04.10.2006 11:43 8.346 KB920214.log
04.10.2006 11:43 8.226 KB911927.log
04.10.2006 11:43 8.140 KB922616.log
04.10.2006 11:42 8.054 KB901017.log
04.10.2006 11:42 7.933 KB899591.log
04.10.2006 11:42 7.837 KB920685.log
04.10.2006 11:42 7.742 KB896424.log
04.10.2006 11:41 7.644 KB893756.log
04.10.2006 11:41 7.532 KB911280.log
04.10.2006 11:41 7.350 KB911562.log
04.10.2006 11:41 7.958 KB900485.log
04.10.2006 11:41 7.231 KB917159.log
04.10.2006 11:40 7.210 KB873339.log
04.10.2006 11:40 7.053 KB921398.log
04.10.2006 11:40 6.948 KB896358.log
04.10.2006 11:40 6.849 KB918899.log
04.10.2006 11:39 6.339 KB918439.log
04.10.2006 11:39 6.240 KB920670.log
04.10.2006 11:39 6.225 KB891781.log
04.10.2006 11:38 10.659 KB902400.log
04.10.2006 11:38 5.937 KB899589.log
04.10.2006 11:37 6.213 KB917344.log
04.10.2006 11:37 5.734 KB905414.log
04.10.2006 11:37 5.538 KB901214.log
04.10.2006 11:37 5.445 KB917422.log
04.10.2006 11:36 5.426 KB888302.log
04.10.2006 11:36 12.184 KB913580.log
04.10.2006 11:36 12.472 KB908531.log
04.10.2006 11:35 12.767 KB912919.log
04.10.2006 11:35 11.389 KB914389.log
04.10.2006 11:35 12.856 KB916595.log
04.10.2006 11:35 12.890 KB900725.log
04.10.2006 11:35 12.276 KB905749.log
04.10.2006 11:34 859.110 setupapi.log
04.10.2006 11:33 11.581 KB894391.log
04.10.2006 11:33 13.131 KB925486.log
04.10.2006 11:33 12.154 KB904706.log
04.10.2006 11:33 11.192 KB896423.log
04.10.2006 11:33 11.378 KB908519.log
04.10.2006 11:32 11.670 KB896428.log
04.10.2006 11:32 11.616 KB890859.log
04.10.2006 11:29 4.543 KB911567.log
04.10.2006 10:07 90.797 iis6.log
04.10.2006 10:07 28.689 comsetup.log
04.10.2006 10:07 16.324 ntdtcsetup.log
04.10.2006 10:07 29.680 tsoc.log
04.10.2006 10:07 1.374 imsins.log
04.10.2006 10:07 3.079 tabletoc.log
04.10.2006 10:07 3.115 ocmsn.log
04.10.2006 10:07 11.069 KB893803v2.log
04.10.2006 10:07 9.744 netfxocm.log
04.10.2006 10:07 4.377 MedCtrOC.log
04.10.2006 10:07 37.902 ocgen.log
04.10.2006 10:07 3.029 msgsocm.log
04.10.2006 10:07 49.758 FaxSetup.log
04.10.2006 10:06 28.928 msmqinst.log
04.10.2006 10:03 1.374 imsins.BAK
04.10.2006 10:03 6.837 KB898461.log
30.09.2006 22:36 1.059 win.ini
29.09.2006 07:19 432 BRWMARK.INI
23.09.2006 19:55 40 RSoftInfo.dat
21.09.2006 07:29 737.280 iun6002.exe
19.09.2006 16:54 32 wininit.ini
28.08.2006 07:20 6.519 KB921883.log
28.08.2006 07:19 468 updspapi.log
11.08.2006 19:18 173.561 setupact.log
09.08.2006 00:53 64.296 wmsetup.log
31.07.2006 10:42 259 system.ini
31.07.2006 10:41 156.910 WMSysPr8.prx
25.07.2006 21:18 16 odbctrp.ini
17.07.2006 13:13 1.472 eReg.dat



Datentr„ger in Laufwerk C: ist win
Volumeseriennummer: 43AD-DBD5

Verzeichnis von C:\WINDOWS\Temp


Datentr„ger in Laufwerk C: ist win
Volumeseriennummer: 43AD-DBD5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.03.2005 15:45 65 desktop.ini



Datentr„ger in Laufwerk C: ist win
Volumeseriennummer: 43AD-DBD5

Verzeichnis von C:\

11.10.2006 16:58 0 sys.txt
11.10.2006 16:57 559 down.txt
11.10.2006 16:55 107 tmp.txt
11.10.2006 16:54 9.409 system.txt
11.10.2006 16:54 283 systemtemp.txt
11.10.2006 16:51 101.956 system32.txt
11.10.2006 12:42 268.017.664 hiberfil.sys
11.10.2006 12:42 536.870.912 pagefile.sys




und noch das Combofix-Log:


Fabian - 06-10-11 17:00:53,91 Service Pack 2
ComboFix 06.10.11 - Running from: "C:\Dokumente und Einstellungen\Fabian\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Safety Bar
C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-09-11 to 2006-10-11 ))))))))))))))))))))))))))))))))))


2006-10-04 10:44 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-10-04 10:44 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-10-04 10:44 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-10-04 10:01 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-09-30 19:46 799,797 ---hs---- C:\WINDOWS\system32\twabc.ini2
2006-09-29 22:03 86,068 --a------ C:\WINDOWS\system32\laieedoj.dll
2006-09-29 22:03 143,380 --a------ C:\WINDOWS\system32\fekaucls.exe
2006-09-29 22:02 796,827 ---hs---- C:\WINDOWS\system32\twabc.bak2
2006-09-29 18:54 577,588 --------- C:\WINDOWS\system32\cbawt.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-11 16:24 -------- d-------- C:\Programme\CleanUp!
2006-10-11 16:13 -------- d-------- C:\Programme\Trillian
2006-10-11 16:09 -------- d-------- C:\Programme\ICQLite
2006-10-11 00:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-10-10 19:43 -------- d-------- C:\Programme\Teamspeak2_RC2 server
2006-10-10 19:08 -------- d-------- C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\teamspeak2
2006-10-10 02:34 -------- d-------- C:\Programme\mIRC
2006-10-04 10:45 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-30 20:13 -------- d-------- C:\Programme\BearShare
2006-09-30 15:02 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-26 17:24 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-25 20:42 17704 --a------ C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-21 07:29 737280 --a------ C:\WINDOWS\iun6002.exe
2006-09-19 16:43 -------- d-------- C:\Programme\Miranda IM
2006-09-19 06:45 -------- d-------- C:\Programme\MSN Messenger
2006-08-22 06:49 -------- d-------- C:\Programme\ICQ
2006-08-16 15:41 -------- d-------- C:\Programme\ReflexiveArcade
2006-08-16 00:19 -------- d-------- C:\Programme\QuickTime
2006-08-13 12:47 457 --a------ C:\Programme\INSTALL.LOG
2006-08-11 20:34 -------- d-------- C:\Programme\Microsoft IntelliType Pro
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NVMCTRAY.DLL,NvTaskbarInit"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"etMonitor"="C:\\WINDOWS\\etMon.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SoftickPPP"="\"C:\\Programme\\Softick\\PPP\\Bin\\PPPGate.exe\""
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"nwiz"="nwiz.exe /install"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbawt
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincit32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 11.10.2006 17:03:55.59
ComboFix.txt
Dieser Beitrag wurde am 11.10.2006 um 17:04 Uhr von Blue Streak editiert.
Seitenanfang Seitenende
11.10.2006, 20:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbawt
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincit32

Files to delete:
C:\WINDOWS\system32\twabc.ini2
C:\WINDOWS\system32\twabc.bak2
C:\WINDOWS\system32\twabc.ini
C:\WINDOWS\system32\twabc.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\laieedoj.dll
C:\WINDOWS\system32\fekaucls.exe
C:\WINDOWS\system32\cbawt.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 00:01
...neu hier

Themenstarter

Beiträge: 4
#5 BIG THX

Nachdem ich Vundofix hab drüberlaufen lassen ist die Datei weg, der Rechner läuft wieder mit gewohnter Geschwindigkeit und es kommen auch keine Meldungen mehr von Antivir.

Soll ich besser trotzdem smitfraudfix drüberlaufen lassen, oder muss ich noch etwas anderes tun?

Greetz, Blue
Seitenanfang Seitenende
12.10.2006, 00:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 du musst von A bis B alles abarbeiten, was ich erarbeitet habe ;)
vundofix - avenger- smitfraudfix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 12:19
...neu hier

Themenstarter

Beiträge: 4
#7 Alles wie beschrieben durchgeführt ^^

Keine Probleme mehr, ausser dass mein Hintergrundbild weg is ;)

Vielen Dank nochma
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »