Home » Viren, Trojaner & Malware Forum » TR/Vundo.Gen läßt sich nicht löschen » Themenansicht

TR/Vundo.Gen läßt sich nicht löschen

Thema ist geschlossen!
Thema ist geschlossen!
#0
12.10.2006, 16:25
prodinger
...neu hier

Beiträge: 5
#1 Hi!
Hab mir besagten Virus eingefangen, das Problem ist, dass er sich nicht löschen läßt und da ich auf diesem Gebiet überhaupt keine Ahnung habe, bitte ich auf diesem Weg um Hilfe!

Die befallenen Dateien sind laut antivir:

C:\WINDOWS\System32\awtqnkh.dll und
C:\windows\system32\mllig.dll

Hab die Anleitung gelesen, hier also die Logs:

Logfile of HijackThis v1.99.1
Scan saved at 16:12:14, on 12.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\lkcitdl.exe
C:\WINDOWS\System32\lkads.exe
C:\WINDOWS\System32\lktsrv.exe
C:\Programme\National Instruments\MAX\nimxs.exe
C:\Programme\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\System32\nisvcloc.exe
C:\Programme\National Instruments\Shared\Tagger\tagsrv.exe
C:\WINDOWS\alrs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Pö_2\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Programme\VSToolbar\VSToolBar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\System32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments, Inc. - C:\WINDOWS\System32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments, Inc. - C:\WINDOWS\System32\lktsrv.exe
O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Programme\National Instruments\MAX\nimxs.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments, Inc. - C:\Programme\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS\System32\nisvcloc.exe
O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments, Inc. - C:\Programme\National Instruments\Shared\Tagger\tagsrv.exe
O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINDOWS\alrs.exe





Combofix:


P” - 06-10-12 15:54:33,32 Service Pack 1
ComboFix 06.10.12 - Running from: "C:\Programme\Mozilla Firefox"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{A81AFA1A-136C-47A4-86AD-5E5DCF721332}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\clsid\{A81AFA1A-136C-47A4-86AD-5E5DCF721332}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{A81AFA1A-136C-47A4-86AD-5E5DCF721332}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{A81AFA1A-136C-47A4-86AD-5E5DCF721332}\InprocServer32]
@="C:\\WINDOWS\\system32\\fzsclntR.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{7095F1C6-6E05-4047-8C0B-44073E0C9BFB}]
@=""

[HKEY_CLASSES_ROOT\clsid\{7095F1C6-6E05-4047-8C0B-44073E0C9BFB}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{7095F1C6-6E05-4047-8C0B-44073E0C9BFB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{7095F1C6-6E05-4047-8C0B-44073E0C9BFB}\InprocServer32]
@="C:\\WINDOWS\\system32\\kgdinmar.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{84C722B9-F6F7-46B6-8E07-344D4ACECDE0}]
@=""

[HKEY_CLASSES_ROOT\clsid\{84C722B9-F6F7-46B6-8E07-344D4ACECDE0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{84C722B9-F6F7-46B6-8E07-344D4ACECDE0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{84C722B9-F6F7-46B6-8E07-344D4ACECDE0}\InprocServer32]
@="C:\\WINDOWS\\system32\\mzhcp.dll"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32\n6r2lg9o16.dll
C:\WINDOWS\system32\moisam11.dll
C:\WINDOWS\system32\udrv42a.dll
C:\WINDOWS\system32\mncndmgr.dll
C:\WINDOWS\system32\slhedsvc.dll
C:\WINDOWS\system32\iuwphbk.dll
C:\WINDOWS\system32\nsprovau.dll
C:\WINDOWS\system32\hr0u05d9e.dll
C:\WINDOWS\system32\kgdinmar.dll
C:\WINDOWS\system32\m6lslg3716.dll
C:\WINDOWS\system32\mzhcp.dll


Granting sedebugprivilege to Administratoren ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\warebundlenewer.exe
C:\ucmoreiex.exe


((((((((((((((((((((((((((((((( Files Created from 2006-09-12 to 2006-10-12 ))))))))))))))))))))))))))))))))))


2006-10-12 15:55 663,541 --a------ C:\WINDOWS\system32\rqrpq.dll
2006-10-12 15:31 143,380 --a------ C:\WINDOWS\system32\ixsgxwjl.exe
2006-10-12 15:30 98,324 --a------ C:\WINDOWS\system32\wtflgnis.dll
2006-10-12 15:30 684,084 ---hs---- C:\WINDOWS\system32\mllig.dll
2006-10-12 15:30 414,361 ---hs---- C:\WINDOWS\system32\gillm.bak1
2006-10-08 18:42 50,912 --a------ C:\WINDOWS\iconu.exe
2006-10-08 12:14 24,296 --a------ C:\WINDOWS\icont.exe
2006-10-07 17:42 40,973 --------- C:\WINDOWS\system32\awtqnkh.dll
2006-10-07 12:00 95,232 -r-hs---- C:\WINDOWS\alrs.exe
2006-09-27 12:11 20,096 --a------ C:\WINDOWS\system32\drivers\MSIRCOMM.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-12 15:31 -------- d-------- C:\Programme\VSToolbar
2006-10-12 15:29 -------- d-------- C:\Programme\CleanUp!
2006-10-05 00:33 -------- d-------- C:\Programme\iTunes
2006-07-14 14:51 108144 --a------ C:\WINDOWS\system32\GEARAspi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"LtMoh"="C:\\Programme\\ltmoh\\Ltmoh.exe"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\CPLBCL53.EXE"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllig

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 06-10-12 15:57:18.47
ComboFix.txt




Datfind:



Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS\system32

12.10.2006 16:03 421.354 gillm.ini
12.10.2006 15:55 663.541 rqrpq.dll
12.10.2006 15:31 143.380 ixsgxwjl.exe
12.10.2006 15:30 98.324 wtflgnis.dll
12.10.2006 15:30 414.361 gillm.bak1
12.10.2006 15:30 684.084 mllig.dll
12.10.2006 09:05 1.158 wpa.dbl
07.10.2006 17:42 40.973 awtqnkh.dll
27.09.2006 18:38 72 i
24.09.2006 03:42 65.536 QuickTimeVR.qtx
24.09.2006 03:42 49.152 QuickTime.qts
14.07.2006 14:51 108.144 GEARAspi.dll



Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS

12.10.2006 15:56 3.832 ModemLog_Agere Systems AC'97 Modem.txt
12.10.2006 15:56 0 0.log
12.10.2006 15:56 2.048 bootstat.dat
12.10.2006 15:37 32.618 SchedLgU.Txt
12.10.2006 14:05 216 wiadebug.log
12.10.2006 14:05 50 wiaservc.log
09.10.2006 20:28 116 NeroDigital.ini
08.10.2006 18:42 50.912 iconu.exe
08.10.2006 12:58 24.296 icont.exe
08.10.2006 12:52 1.409 QTFont.for
08.10.2006 12:52 54.156 QTFont.qfn
07.10.2006 12:00 95.232 alrs.exe
05.10.2006 00:34 121 GEARInstall.log
04.10.2006 23:06 680.502 setupapi.log
27.09.2006 12:12 4.470 ModemLog_Siemens S45.txt
25.06.2006 20:20 150 WSST_Screen_Saver.ini
22.06.2006 19:18 2.359.350 webshots.bmp
22.06.2006 19:17 466.944 Al Bundy Screensaver.scr
22.06.2006 19:17 467 UninstallLog0.log
22.06.2006 19:17 180.224 UninstallWSST.exe
22.06.2006 19:17 1.528.242 Al Bundy Screensaver.dat




Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\

12.10.2006 16:09 0 sys.txt
12.10.2006 16:08 287 down.txt
12.10.2006 16:08 108 tmp.txt
12.10.2006 16:07 7.208 system.txt
12.10.2006 16:05 331 systemtemp.txt
12.10.2006 16:03 106.561 system32.txt
12.10.2006 15:57 8.461 ComboFix.txt
12.10.2006 15:56 536.399.872 hiberfil.sys
12.10.2006 15:56 805.306.368 pagefile.sys
26.09.2006 19:26 15.360 divx-connected.db
11.06.2006 18:21 203.328 Microsoft Word - Artifial Neural Networks.pdf





Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\DOKUME~1\P”\LOKALE~1\Temp

12.10.2006 16:03 289 datFind-1.zip
12.10.2006 16:01 289 datFind.zip
2 Datei(en) 578 Bytes
0 Verzeichnis(se), 37.049.303.040 Bytes frei





Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.03.2004 14:43 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 37.061.623.808 Bytes frei



Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS\Temp


Bitte um Hilfe und vielen, vielen Dank im Voraus!!!!!!
Seitenanfang Seitenende
12.10.2006, 16:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 prodinger

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren)

Microsoft Windows Als Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" ( reinkopieren)

Windows Als Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

_______________________________________________________________

««
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mllig

Files to delete:
C:\WINDOWS\system32\gillm.ini
C:\WINDOWS\system32\rqrpq.dll
C:\WINDOWS\system32\ixsgxwjl.exe
C:\WINDOWS\system32\wtflgnis.dll
C:\WINDOWS\system32\gillm.bak1
C:\WINDOWS\system32\mllig.dll
C:\WINDOWS\system32\awtqnkh.dll
C:\WINDOWS\system32\i
C:\WINDOWS\iconu.exe
C:\WINDOWS\icont.exe
C:\WINDOWS\alrs.exe

Folders to delete:
C:\Programme\VSToolbar

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter c:\Avenger\backup.zip

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.10.2006, 19:08
prodinger
...neu hier

Themenstarter

Beiträge: 5
#3 puhh!! harte arbeit!
Vielen Dank für Anleitung!
hab alles gemacht, die ergebnisse:

regsearch:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 12.10.2006 18:37:15 for strings:
; 'microsoft windows als service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Als Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Als Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Als Service"

; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 12.10.2006 18:38:36 for strings:
; 'windows als service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem0]
"SubKey"="System\\CurrentControlSet\\Services\\Windows Als Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000]
"Service"="Windows Als Service"
"DeviceDesc"="Microsoft Windows Als Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000]
"Service"="Windows Als Service"
"DeviceDesc"="Microsoft Windows Als Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000]
"Service"="Windows Als Service"
"DeviceDesc"="Microsoft Windows Als Service"

; End Of The Log...


Vundofix hat alles gelöscht, was er gefunden hat, Avenger konnte nichts löschen und ich fand auch kein backup.
SuperAntiSpy hat mir leider keinen report ausgeworfen und ich hab auch keinen finden können. Er hat alles gescannt, glöscht und dann neu gestartet, dann hab ich ihn nochmals scannen lassen und er hat nichts mehr gefunden.

Die anfangs befallenen Dateien

Zitat

C:\WINDOWS\System32\awtqnkh.dll und
C:\windows\system32\mllig.dll
sind anscheinend gelöscht, dafür findet anitvir eine neue mit demselben Virus infizierte Datei:

C:\WINDOWS\system32\iii.dll

Ich bitte um weiter Hilfestellung!
lg
prodinger
Seitenanfang Seitenende
13.10.2006, 00:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000

Files to delete:
C:\WINDOWS\system32\iii.dll
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 08:59
prodinger
...neu hier

Themenstarter

Beiträge: 5
#5 Guten Morgen!

Also, es sieht so aus:
Avenger kann die keys und die Datei nicht löschen. Bei den keys kriege ich folgende Fehlermeldung:

error: selected file does not appear to be a valid script

Bei der Datei kriege ich folgende Fehlermeldung:

Fatal error: could not create new script file
error code: 0
Error to erroelog.txt. aborting now

Dann hab ich versucht, die keys und die Datei händisch zu löschen, konnte aber nicht genau diese keys finden, also hab ichs gelassen.
Die Datei war zu finden, ließ sich aber wie erwartet nicht löschen, ich bekam folgende Fehlermeldung:

iiihi.dll kann nicht gelöscht werden: Die Datei wird von einer anderen Person bzw. einem anderen Programm verwndet. Schließen sie alle Programme, die die datei eventuell verwenden können und wiederholen sie den Vorgang.

hier noch die logs von datfind:

down Editor:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.03.2004 14:43 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 36.980.064.256 Bytes frei



sys Editor:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\

13.10.2006 08:52 0 sys.txt
13.10.2006 08:52 287 down.txt
13.10.2006 08:51 108 tmp.txt
13.10.2006 08:51 7.133 system.txt
13.10.2006 08:51 525 systemtemp.txt
13.10.2006 08:50 649 system32.txt
13.10.2006 08:15 536.399.872 hiberfil.sys
13.10.2006 08:15 805.306.368 pagefile.sys
12.10.2006 17:36 1.011 VundoFix.txt
12.10.2006 15:57 8.461 ComboFix.txt
26.09.2006 19:26 15.360 divx-connected.db
11.06.2006 18:21 203.328 Microsoft Word - Artifial Neural Networks.pdf



system Editor:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS

13.10.2006 08:17 3.832 ModemLog_Agere Systems AC'97 Modem.txt
13.10.2006 08:15 0 0.log
13.10.2006 08:15 2.048 bootstat.dat
12.10.2006 19:29 32.618 SchedLgU.Txt
12.10.2006 18:02 0 PL-2303 DriverInstaller.exe
12.10.2006 14:05 216 wiadebug.log
12.10.2006 14:05 50 wiaservc.log
09.10.2006 20:28 116 NeroDigital.ini
08.10.2006 12:52 54.156 QTFont.qfn
08.10.2006 12:52 1.409 QTFont.for
05.10.2006 00:34 121 GEARInstall.log
04.10.2006 23:06 680.502 setupapi.log
27.09.2006 12:12 4.470 ModemLog_Siemens S45.txt
25.06.2006 20:20 150 WSST_Screen_Saver.ini
22.06.2006 19:18 2.359.350 webshots.bmp
22.06.2006 19:17 466.944 Al Bundy Screensaver.scr
22.06.2006 19:17 467 UninstallLog0.log
22.06.2006 19:17 180.224 UninstallWSST.exe
22.06.2006 19:17 1.528.242 Al Bundy Screensaver.dat



system32 Editor:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS\system32

13.10.2006 08:49 420.041 ihiii.ini2
12.10.2006 18:28 417.743 ihiii.ini
12.10.2006 18:02 414.922 ihiii.tmp
12.10.2006 18:02 0 cmmgr32.exe
12.10.2006 18:02 98.324 xveimyls.dll
12.10.2006 18:02 414.361 ihiii.bak1
12.10.2006 18:01 684.084 iiihi.dll
12.10.2006 09:05 1.158 wpa.dbl
24.09.2006 03:42 65.536 QuickTimeVR.qtx
24.09.2006 03:42 49.152 QuickTime.qts
14.07.2006 14:51 108.144 GEARAspi.dll



systemtemp Editor:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\DOKUME~1\P”\LOKALE~1\Temp

13.10.2006 08:49 289 datFind.zip
13.10.2006 08:47 512 ~DF675.tmp
13.10.2006 08:46 512 ~DFAC08.tmp
13.10.2006 08:30 204 jusched.log
13.10.2006 08:23 127.378 avenger.zip
17.02.2006 16:55 143.360 SSUPDATE.EXE
6 Datei(en) 272.255 Bytes
0 Verzeichnis(se), 36.980.260.864 Bytes frei


temp Editor:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 290E-14EF

Verzeichnis von C:\WINDOWS\Temp

Vielen lieben Dank!
prodinger



hi noch mal!

ich hab noch mal den VundoFix drüberlaufen lassen und er konnte die infizierte Datei

Zitat

C:\WINDOWS\system32\iii.dll
löschen - und noch ein paar andere, die so ähnliche Namen hatten.

Es sieht so aus, al hätte ich jetzt Ruhe, ist der Virus jetzt weg, oder nicht, was meinst du, Sabina?

Hast du auch einen Tipp für eine gute firewall?

Vielen, vielen Dank, ohne Deine Hilfe wär ich echt aufgeschmissen gewesen!!
LG
prodinger
Dieser Beitrag wurde am 13.10.2006 um 10:19 Uhr von prodinger editiert.
Seitenanfang Seitenende
13.10.2006, 11:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 prodinger

Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iiihi

Files to delete:
C:\WINDOWS\system32\ihiii.ini2
C:\WINDOWS\system32\ihiii.ini
C:\WINDOWS\system32\ihiii.tmp
C:\WINDOWS\system32\cmmgr32.exe
C:\WINDOWS\system32\xveimyls.dll
C:\WINDOWS\system32\ihiii.bak1
C:\WINDOWS\system32\iiihi.dll
**
scanne mit panda oder, wenn das nicht klappt - mit Trend Micro Anti-Spyware for the Web
und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2006, 17:30
prodinger
...neu hier

Themenstarter

Beiträge: 5
#7 Hi!
trend Micro Anti-spyware hat keine Viren gefunden!
bin ich also geheilt?

lg
prodinger
Seitenanfang Seitenende
13.10.2006, 17:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 scanne nochmal mit deinem antiviren-proggie, dann sollte wieder alles o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.10.2006, 08:30
prodinger
...neu hier

Themenstarter

Beiträge: 5
#9 Hi Sabina!

Der AnitVir hat auch nix mehr gefunden!
Ich bin tatsächlich virenfrei :-)

Herzlichen Dank für Deine Hilfe!

LG
prodinger
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1