Tr/vundo.gen,worm/sdbot.62048, Worm/banwarum.f.17

#16 Avenger fertig

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\enjhuity

*******************

Script file located at: \??\C:\WINDOWS\System32\rtpbubxy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\itunesff.exe not found!
Deletion of file C:\WINDOWS\system32\itunesff.exe failed!

Could not process line:
C:\WINDOWS\system32\itunesff.exe
Status: 0xc0000034



File C:\WINDOWS\Downloaded Program Files\_ipsec_.inf not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\_ipsec_.inf failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\_ipsec_.inf
Status: 0xc0000034



File C:\WINDOWS\system32\adir.dll not found!
Deletion of file C:\WINDOWS\system32\adir.dll failed!

Could not process line:
C:\WINDOWS\system32\adir.dll
Status: 0xc0000034

File C:\WINDOWS\system32\xxycf.ini deleted successfully.
File C:\WINDOWS\system32\byxxvtt.dll deleted successfully.
File C:\WINDOWS\system32\setup_45164.exe deleted successfully.
File C:\WINDOWS\system32\ssqppmn.dll deleted successfully.
File C:\WINDOWS\system32\rsaiveuy.dll deleted successfully.
File C:\WINDOWS\system32\xxycf.bak1 deleted successfully.
File C:\WINDOWS\system32\fcyxx.dll deleted successfully.
File C:\WINDOWS\system32\setup_88455.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcyxx deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.10.2006 11:00:15 for strings:
; 'kq92'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92\0000]
"Service"="kq92"
"DeviceDesc"="kq92"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92]
; Contents of value:
; "c:\windows\kq92.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,6b,71,39,32,2e,65,78,65,\
22,00
"DisplayName"="kq92"
"Description"="kq92"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92\Enum]
"0"="Root\\LEGACY_KQ92\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92\0000]
"Service"="kq92"
"DeviceDesc"="kq92"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92]
; Contents of value:
; "c:\windows\kq92.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,6b,71,39,32,2e,65,78,65,\
22,00
"DisplayName"="kq92"
"Description"="kq92"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92\0000]
"Service"="kq92"
"DeviceDesc"="kq92"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92]
; Contents of value:
; "c:\windows\kq92.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,6b,71,39,32,2e,65,78,65,\
22,00
"DisplayName"="kq92"
"Description"="kq92"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92\Enum]
"0"="Root\\LEGACY_KQ92\\0000"

; End Of The Log...

#17 Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CURRENT_USER\Software\Need2Find
HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find

Files to delete:
c:\windows\uninstall_nmon.vbs
C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
c:\dokumente und einstellungen\stefan\desktop\remove spyware.url
c:\dokumente und einstellungen\all users\startmenü\programme\bearshare.lnk
c:\dokumente und einstellungen\stefan\desktop\bearshare downloads.lnk
c:\dokumente und einstellungen\stefan\desktop\bearshare.lnk

Folders to delete:
C:\Programme\BearShare
C:\Program Files\Altnet
C:\Programme\Need2Find
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LABW1WT
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVANCRMZ
C:\WINDOWS\U3RlZmFu

**
poste das log vom avenger, nach neustart, dann scanne noch mal mit Counterspy und stelle alles auf "remove#
und poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Avenger bringt nach der Ampel nur Fehlermeldungen!!! und startet nicht neu wie sonst!

#19 versuche es noch mal damit:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92

Files to delete:
c:\windows\uninstall_nmon.vbs
C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
c:\dokumente und einstellungen\stefan\desktop\remove spyware.url
c:\dokumente und einstellungen\all users\startmenü\programme\bearshare.lnk
c:\dokumente und einstellungen\stefan\desktop\bearshare downloads.lnk
c:\dokumente und einstellungen\stefan\desktop\bearshare.lnk

Folders to delete:
C:\Programme\BearShare
C:\Program Files\Altnet
C:\Programme\Need2Find
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LABW1WT
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVANCRMZ
C:\WINDOWS\U3RlZmFu

__________
MfG Sabina

rund um die PC-Sicherheit

#20 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oodsmma^

*******************

Script file located at: \??\C:\Program Files\etlydqbt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92
Status: 0xc0000034



File c:\windows\uninstall_nmon.vbs not found!
Deletion of file c:\windows\uninstall_nmon.vbs failed!

Could not process line:
c:\windows\uninstall_nmon.vbs
Status: 0xc0000034



File C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll not found!
Deletion of file C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll failed!

Could not process line:
C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
Status: 0xc0000034



File c:\dokumente und einstellungen\stefan\desktop\remove spyware.url not found!
Deletion of file c:\dokumente und einstellungen\stefan\desktop\remove spyware.url failed!

Could not process line:
c:\dokumente und einstellungen\stefan\desktop\remove spyware.url
Status: 0xc0000034

File c:\dokumente und einstellungen\all users\startmenü\programme\bearshare.lnk deleted successfully.
File c:\dokumente und einstellungen\stefan\desktop\bearshare downloads.lnk deleted successfully.
File c:\dokumente und einstellungen\stefan\desktop\bearshare.lnk deleted successfully.
Folder C:\Programme\BearShare deleted successfully.


Folder C:\Program Files\Altnet not found!
Deletion of folder C:\Program Files\Altnet failed!

Could not process line:
C:\Program Files\Altnet
Status: 0xc0000034



Folder C:\Programme\Need2Find not found!
Deletion of folder C:\Programme\Need2Find failed!

Could not process line:
C:\Programme\Need2Find
Status: 0xc0000034

Folder C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LABW1WT deleted successfully.
Folder C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UVANCRMZ deleted successfully.
Folder C:\WINDOWS\U3RlZmFu deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\system32

15.10.2006 16:09 234.272 mcsign32.dll
15.10.2006 16:08 40.973 pmnlljj.dll
15.10.2006 15:41 71 i
15.10.2006 14:33 62.336 setup_85458.exe
15.10.2006 13:28 62.336 setup_18838.exe
15.10.2006 11:18 62.336 setup_76447.exe
14.10.2006 22:17 9.216 VundoFixSVC.exe
14.10.2006 08:23 4.212 zllictbl.dat
12.10.2006 20:48 82 drrm.bat
11.10.2006 20:06 51.725 rm1.exe
11.10.2006 20:04 16.384 dr1.exe
30.09.2006 22:13 16 servdat.slm
30.09.2006 22:13 354 lsprst7.tgz
30.09.2006 22:13 340 lsprst7.dll
30.09.2006 21:23 87 ssprs.tgz
30.09.2006 21:23 73 ssprs.dll
26.09.2006 10:22 118.784 pdfmona.dll
26.09.2006 10:22 51.716 pdf995mon.dll
25.09.2006 07:26 112.584 FNTCACHE.DAT
24.09.2006 22:20 1.025 clauth2.dll
24.09.2006 22:20 1.025 clauth1.dll
24.09.2006 22:20 1.025 sysprs7.dll
24.09.2006 22:20 1.025 sysprs7.tgz
21.09.2006 00:26 2.184 wpa.dbl
06.08.2006 10:53 3.645 qtplugin.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

15.10.2006 16:07 32.768 ~DF6D5F.tmp
15.10.2006 16:07 16.384 ~DFE90D.tmp
15.10.2006 16:07 49.152 ~DFBF07.tmp
15.10.2006 15:40 1.648 jusched.log
15.10.2006 15:31 1.212.416 ~DFE614.tmp
15.10.2006 15:31 32.768 ~DF49C5.tmp
15.10.2006 15:31 16.384 ~DF6D4.tmp
15.10.2006 15:30 32.768 ~DF907D.tmp
15.10.2006 15:30 16.384 ~DF394B.tmp
15.10.2006 15:30 49.152 ~DF1A4.tmp
15.10.2006 15:25 16.384 ~DF8CC5.tmp
15.10.2006 15:23 127.378 avenger-1.zip
15.10.2006 15:20 45.568 de00-elearning.doc
15.10.2006 15:18 5.642 0001.mp3
15.10.2006 14:19 0 CacheInfo.dnl
15.10.2006 14:17 31 searchurl_en_us.txt
15.10.2006 14:16 16.384 ~DF76DD.tmp
15.10.2006 14:14 6.257 GLG17D.tmp
15.10.2006 14:14 12.800 GLM17B.tmp
15.10.2006 14:14 165.376 GLC17A.tmp
15.10.2006 12:47 1.212.416 ~DF1361.tmp
15.10.2006 12:47 32.768 ~DF5BF9.tmp
15.10.2006 12:46 16.384 ~DF342F.tmp
15.10.2006 11:47 717 control.xml
15.10.2006 11:39 1.212.416 ~DFB3CF.tmp
15.10.2006 11:39 32.768 ~DF7ABF.tmp
15.10.2006 11:38 16.384 ~DF554F.tmp
15.10.2006 11:08 1.212.416 ~DFDFEA.tmp
15.10.2006 11:06 49.152 ~DF2AE5.tmp
15.10.2006 11:06 32.768 ~DF20B5.tmp
15.10.2006 11:06 16.384 ~DF88.tmp
15.10.2006 10:52 127.378 avenger.zip
15.10.2006 10:43 16.384 ~DFF127.tmp
14.10.2006 22:47 289 datFind.zip
10.10.2006 21:57 244 1F1205F7.TMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS

15.10.2006 16:09 0 keyboard1.dat
15.10.2006 16:09 40 teller2.chk
15.10.2006 16:09 0 newname.dat
15.10.2006 16:08 59.073 Desktop.exe
15.10.2006 16:07 0 0.log
15.10.2006 16:06 159 wiadebug.log
15.10.2006 16:06 50 wiaservc.log
15.10.2006 16:06 2.048 bootstat.dat
15.10.2006 16:06 32.604 SchedLgU.Txt
15.10.2006 15:41 62.336 kq92.exe
15.10.2006 11:53 6.104 ModemLog_Bluetooth DUN Modem.txt
15.10.2006 11:53 6.098 ModemLog_Bluetooth Fax Modem.txt
15.10.2006 11:47 83.873 wmsetup.log
14.10.2006 10:13 2.250.596 ntbtlog.txt
13.10.2006 19:31 1.855 OEWABLog.txt
12.10.2006 07:42 116 NeroDigital.ini
08.10.2006 17:13 54.156 QTFont.qfn
08.10.2006 17:12 1.136.663 setupapi.log
05.10.2006 10:53 1.409 QTFont.for
29.09.2006 13:29 49 wpd99.drv
26.09.2006 10:27 28 pdf995.ini
21.09.2006 09:21 10.812 mozver.dat
20.08.2006 17:14 0 MEMORY.DMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Temp

15.10.2006 16:09 43 removalfile.bat
15.10.2006 16:09 852.566 cmdinst.exe
2 Datei(en) 852.609 Bytes
0 Verzeichnis(se), 53.939.903.488 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 13:00 5.019 swflash.inf
24.03.2006 18:40 1.455.864 ICSScan.dll
24.03.2006 10:03 470 ICSScanner.inf
21.10.2005 15:09 130 proto.inf
28.11.2002 01:29 65 desktop.ini
15.11.2002 13:23 901 iuctl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
7 Datei(en) 1.463.611 Bytes
0 Verzeichnis(se), 53.939.902.464 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\

15.10.2006 16:11 0 sys.txt
15.10.2006 16:10 611 down.txt
15.10.2006 16:10 329 tmp.txt
15.10.2006 16:10 6.767 system.txt
15.10.2006 16:10 2.113 systemtemp.txt
15.10.2006 16:09 99.279 system32.txt
15.10.2006 16:09 578.560 Installer4.exe
15.10.2006 16:09 364.544 kybrdff_e30.exe
15.10.2006 16:09 376.832 dfndrff_e30.exe
15.10.2006 16:08 368.640 nwnmff_e30.exe
15.10.2006 16:08 25.105 MTE3NDI6ODoxNg.exe
15.10.2006 16:08 676.081 deskbar_e29.exe
15.10.2006 16:08 69.632 drsmartload.exe
15.10.2006 16:06 402.653.184 pagefile.sys
15.10.2006 16:05 109.771 dirdat.txt
15.10.2006 15:29 6.384 avenger.txt
15.10.2006 14:00 2.272 pcupqoro.txt
15.10.2006 07:54 86.130 Qoofix.zip
15.10.2006 07:50 62.862 bfu.zip
14.10.2006 23:05 13.907 files.txt
14.10.2006 22:45 7.111 ComboFix.txt
14.10.2006 22:37 138 ComboFix2.txt
14.10.2006 22:18 2.167 VundoFix.txt
14.10.2006 15:30 39.710 History_02pichler.dat
14.10.2006 15:30 355 VoiceEngine.xml
12.10.2006 20:58 522 hpfr3420.xml
12.10.2006 20:58 114.538 hpfr3425.log
25.09.2006 18:24 1.045.876 BB_controlling_berater.pdf
24.09.2006 19:20 2.358.319 Niels_Pflaeging.pdf
24.09.2006 19:17 1.055.577 beyond_budgeting_krp_jdaum.pdf
24.09.2006 19:00 1.291.966 beyond_budgeting_jdaum_cc2003.pdf#search=%22www.juergendaum.de%2Farticles%2Fbeyond_budgeting_jdaum_cc2003.pdf
19.09.2006 11:00 251.352 deskbar.exe
06.08.2006 13:20 1.178 INSTALL.LOG

#21 Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\mcsign32.dll
C:\WINDOWS\system32\pmnlljj.dll
C:\WINDOWS\system32\i
C:\WINDOWS\system32\setup_85458.exe
C:\WINDOWS\system32\setup_18838.exe
C:\WINDOWS\system32\setup_76447.exe
C:\WINDOWS\system32\drrm.bat
C:\WINDOWS\system32\rm1.exe
C:\WINDOWS\system32\dr1.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\newname.dat
C:\WINDOWS\Desktop.exe
C:\WINDOWS\kq92.exe
C:\Installer4.exe
C:\kybrdff_e30.exe
C:\dfndrff_e30.exe
C:\nwnmff_e30.exe
C:\MTE3NDI6ODoxNg.exe
C:\deskbar_e29.exe
C:\drsmartload.exe

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
Hijackthis - neues log bitte posten

**
poste noch mal die 6 logs von datfindbat

___________

**
loesche alle backups vom Avenger unter C:\Avenger\backup

**
scanne. lasse alles loeschen und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Logfile of HijackThis v1.99.1
Scan saved at 17:44:14, on 15.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\U3RlZmFu\command.exe
C:\IP\srv\srvany.exe
C:\ip\ip.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PhilipsDM] "C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e30.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e30.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e30.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6524C0DE-27DB-4659-BBC1-683C739DD0C2}: NameServer = 143.50.56.25 143.50.19.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U3RlZmFu\command.exe
O23 - Service: Internet Dialup Service - Unknown owner - C:\IP\srv\srvany.exe
O23 - Service: kq92 - Unknown owner - C:\WINDOWS\kq92.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\system32

15.10.2006 17:45 419.429 ycfhk.ini
15.10.2006 16:28 406.426 ycfhk.bak1
15.10.2006 16:27 684.084 khfcy.dll
15.10.2006 16:09 687.592 atmtd.dll._
15.10.2006 16:09 687.592 atmtd.dll
14.10.2006 22:17 9.216 VundoFixSVC.exe
14.10.2006 08:23 4.212 zllictbl.dat
30.09.2006 22:13 16 servdat.slm
30.09.2006 22:13 354 lsprst7.tgz
30.09.2006 22:13 340 lsprst7.dll
30.09.2006 21:23 87 ssprs.tgz
30.09.2006 21:23 73 ssprs.dll
26.09.2006 10:22 118.784 pdfmona.dll
26.09.2006 10:22 51.716 pdf995mon.dll
25.09.2006 07:26 112.584 FNTCACHE.DAT
24.09.2006 22:20 1.025 clauth2.dll
24.09.2006 22:20 1.025 clauth1.dll
24.09.2006 22:20 1.025 sysprs7.dll
24.09.2006 22:20 1.025 sysprs7.tgz
21.09.2006 00:26 2.184 wpa.dbl
06.08.2006 10:53 3.645 qtplugin.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

15.10.2006 17:40 32.768 ~DFE668.tmp
15.10.2006 17:40 16.384 ~DF858C.tmp
15.10.2006 17:40 49.152 ~DF3DDB.tmp
15.10.2006 17:26 98.304 ~DFEFE.tmp
15.10.2006 17:20 0 CacheInfo.dnl
15.10.2006 16:17 1.854 jusched.log
15.10.2006 16:07 32.768 ~DF6D5F.tmp
15.10.2006 16:07 16.384 ~DFE90D.tmp
15.10.2006 16:07 49.152 ~DFBF07.tmp
15.10.2006 15:31 1.212.416 ~DFE614.tmp
15.10.2006 15:31 32.768 ~DF49C5.tmp
15.10.2006 15:31 16.384 ~DF6D4.tmp
15.10.2006 15:30 32.768 ~DF907D.tmp
15.10.2006 15:30 16.384 ~DF394B.tmp
15.10.2006 15:30 49.152 ~DF1A4.tmp
15.10.2006 15:25 16.384 ~DF8CC5.tmp
15.10.2006 15:23 127.378 avenger-1.zip
15.10.2006 14:17 31 searchurl_en_us.txt
15.10.2006 14:16 16.384 ~DF76DD.tmp
15.10.2006 14:14 6.257 GLG17D.tmp
15.10.2006 14:14 12.800 GLM17B.tmp
15.10.2006 14:14 165.376 GLC17A.tmp
15.10.2006 12:47 1.212.416 ~DF1361.tmp
15.10.2006 12:47 32.768 ~DF5BF9.tmp
15.10.2006 12:46 16.384 ~DF342F.tmp
15.10.2006 11:47 717 control.xml
15.10.2006 11:39 1.212.416 ~DFB3CF.tmp
15.10.2006 11:39 32.768 ~DF7ABF.tmp
15.10.2006 11:38 16.384 ~DF554F.tmp
15.10.2006 11:08 1.212.416 ~DFDFEA.tmp
15.10.2006 11:06 49.152 ~DF2AE5.tmp
15.10.2006 11:06 32.768 ~DF20B5.tmp
15.10.2006 11:06 16.384 ~DF88.tmp
15.10.2006 10:43 16.384 ~DFF127.tmp
14.10.2006 22:47 289 datFind.zip
10.10.2006 21:57 244 1F1205F7.TMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS

15.10.2006 17:41 188.341 setupact.log
15.10.2006 17:39 0 0.log
15.10.2006 17:39 157 wiadebug.log
15.10.2006 17:39 50 wiaservc.log
15.10.2006 17:39 2.048 bootstat.dat
15.10.2006 17:38 32.604 SchedLgU.Txt
15.10.2006 11:53 6.104 ModemLog_Bluetooth DUN Modem.txt
15.10.2006 11:53 6.098 ModemLog_Bluetooth Fax Modem.txt
15.10.2006 11:47 83.873 wmsetup.log
14.10.2006 10:13 2.250.596 ntbtlog.txt
13.10.2006 19:31 1.855 OEWABLog.txt
12.10.2006 07:42 116 NeroDigital.ini
08.10.2006 17:13 54.156 QTFont.qfn
08.10.2006 17:12 1.136.663 setupapi.log
05.10.2006 10:53 1.409 QTFont.for
29.09.2006 13:29 49 wpd99.drv
26.09.2006 10:27 28 pdf995.ini
21.09.2006 09:21 10.812 mozver.dat
20.08.2006 17:14 0 MEMORY.DMP
03.07.2006 08:29 335 nsreg.dat
03.07.2006 08:28 567 win.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Temp

15.10.2006 16:09 43 removalfile.bat
15.10.2006 16:09 852.566 cmdinst.exe
2 Datei(en) 852.609 Bytes
0 Verzeichnis(se), 53.774.146.048 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 13:00 5.019 swflash.inf
24.03.2006 18:40 1.455.864 ICSScan.dll
24.03.2006 10:03 470 ICSScanner.inf
21.10.2005 15:09 130 proto.inf
28.11.2002 01:29 65 desktop.ini
15.11.2002 13:23 901 iuctl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
7 Datei(en) 1.463.611 Bytes
0 Verzeichnis(se), 53.774.145.024 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8D8-17EC

Verzeichnis von C:\

15.10.2006 17:46 0 sys.txt
15.10.2006 17:46 611 down.txt
15.10.2006 17:46 329 tmp.txt
15.10.2006 17:46 6.523 system.txt
15.10.2006 17:45 2.157 systemtemp.txt
15.10.2006 17:45 99.084 system32.txt
15.10.2006 17:39 402.653.184 pagefile.sys
15.10.2006 17:39 3.438 avenger.txt
15.10.2006 17:37 39.940 History_02pichler.dat
15.10.2006 17:37 355 VoiceEngine.xml
15.10.2006 16:05 109.771 dirdat.txt
15.10.2006 14:00 2.272 pcupqoro.txt
15.10.2006 07:54 86.130 Qoofix.zip
15.10.2006 07:50 62.862 bfu.zip
14.10.2006 23:05 13.907 files.txt
14.10.2006 22:45 7.111 ComboFix.txt
14.10.2006 22:37 138 ComboFix2.txt
14.10.2006 22:18 2.167 VundoFix.txt
12.10.2006 20:58 522 hpfr3420.xml
12.10.2006 20:58 114.538 hpfr3425.log
25.09.2006 18:24 1.045.876 BB_controlling_berater.pdf
24.09.2006 19:20 2.358.319 Niels_Pflaeging.pdf
24.09.2006 19:17 1.055.577 beyond_budgeting_krp_jdaum.pdf
24.09.2006 19:00 1.291.966 beyond_budgeting_jdaum_cc2003.pdf#search=%22www.juergendaum.de%2Farticles%2Fbeyond_budgeting_jdaum_cc2003.pdf
19.09.2006 11:00 251.352 deskbar.exe
06.08.2006 13:20 1.178 INSTALL.LOG

#23 Avenger

Zitat

registry keys to delete:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfcy
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92

Files to delete:
C:\WINDOWS\system32\ycfhk.ini
C:\WINDOWS\system32\ycfhk.bak1
C:\WINDOWS\system32\khfcy.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\Temp\removalfile.bat
C:\WINDOWS\Temp\cmdinst.exe

Folders to delete:
C:\WINDOWS\U3RlZmFu
C:\Programme\Deskbar
C:\Programme\Network Monitor

poste das log vom avenger

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll

O4 - HKLM\..\Run: [newname] c:\\nwnmff_e30.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e30.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e30.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U3RlZmFu\command.exe
O23 - Service: kq92 - Unknown owner - C:\WINDOWS\kq92.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

PC neustarten

neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
loesche alle backups vom Avenger unter C:\Avenger\backup

**
scanne. lasse alles loeschen und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ttahexge

*******************

Script file located at: \??\C:\WINDOWS\xqiksgpl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KQ92 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KQ92 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KQ92
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kq92 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kq92
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kq92 deleted successfully.
File C:\WINDOWS\system32\ycfhk.ini deleted successfully.
File C:\WINDOWS\system32\ycfhk.bak1 deleted successfully.
File C:\WINDOWS\system32\khfcy.dll deleted successfully.
File C:\WINDOWS\system32\atmtd.dll._ deleted successfully.
File C:\WINDOWS\system32\atmtd.dll deleted successfully.
File C:\WINDOWS\Temp\removalfile.bat deleted successfully.
File C:\WINDOWS\Temp\cmdinst.exe deleted successfully.
Folder C:\WINDOWS\U3RlZmFu deleted successfully.
Folder C:\Programme\Deskbar deleted successfully.
Folder C:\Programme\Network Monitor deleted successfully.


Could not open registry key [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfcy for deletion
Deletion of registry key [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfcy failed!
Status: 0xc000003b


Completed script processing.

*******************

Finished! Terminate.

#25 nun arbeite alles weitere ab und poste den Scanreport vom AVG Anti-Spyware + noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#26 jetzt habe ich den Käse, nach dem Hickjack Programm funktioniert mein Internet nicht mehr.

jetzt musste ich zur Uni fahren.

ich werde meinen Computer wohl oder übel, wieder neu aufsetzen!

#27 ich habe ebendfalls einen wom virus..
diese sind bei mir im system 32 und ich habe keine ahnung, wie ich die beseitigen kann, bitte helft mir..

#28 wrath

arbeite das ab und poste hier alle Logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Ok das erste

Logfile of HijackThis v1.99.1
Scan saved at 18:55:22, on 17.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\yapconf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\gamez\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: wbsys.dll psapdani.dll e1.dll confcon.dll constat.dll
O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll
O20 - Winlogon Notify: WB - C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

combofix

Owned - 06-10-17 19:16:24,98 Service Pack 2
ComboFix 06.10.16 - Running from: "C:\Programme"

((((((((((((((((((((((((((((((( Files Created from 2006-09-17 to 2006-10-17 ))))))))))))))))))))))))))))))))))


2006-10-17 19:13 53,248 --ah----- C:\WINDOWS\system32\attprf32.dll
2006-10-17 19:13 49,152 --ah----- C:\WINDOWS\system32\confatt.dll
2006-10-17 19:13 49,152 --ah----- C:\WINDOWS\system32\atrconf.exe
2006-10-17 19:13 40,960 --ah----- C:\WINDOWS\system32\attperf.exe
2006-10-17 19:13 352,256 --ah----- C:\WINDOWS\system32\attmgr32.dll
2006-10-17 19:13 143,360 --ah----- C:\WINDOWS\system32\attstat.dll
2006-10-17 19:13 108,511 --a------ C:\WINDOWS\smm126.exe
2006-10-17 19:12 80,996 --------- C:\WINDOWS\system32\samsusrr.exe
2006-10-17 18:19 0 --a------ C:\WINDOWS\hv4e05.dll
2006-10-17 16:14 28,672 --------- C:\WINDOWS\system32\psapdani.dll
2006-10-16 17:02 61,440 --ah----- C:\WINDOWS\system32\confcon.dll
2006-10-16 17:02 57,344 --ah----- C:\WINDOWS\system32\conprf32.dll
2006-10-16 17:02 540,672 --ah----- C:\WINDOWS\system32\conmgr32.dll
2006-10-16 17:02 49,152 --ah----- C:\WINDOWS\system32\conperf.exe
2006-10-16 17:02 270,336 --ah----- C:\WINDOWS\system32\constat.dll
2006-10-15 15:17 106,496 --a------ C:\WINDOWS\system32\samsusrr.dll
2006-10-15 15:16 8,704 --a------ C:\WINDOWS\system32\e1.VIR
2006-10-15 15:16 28,672 --a------ C:\WINDOWS\system32\psapdani.VIR
2006-10-15 15:16 20,480 --a------ C:\WINDOWS\system32\netfrtm.VIR
2006-10-15 15:16 12,288 --a------ C:\WINDOWS\system32\hypewmv9.exe
2006-10-13 14:59 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-10-02 09:52 36,864 --a------ C:\WINDOWS\system32\wbsys.dll
2006-10-01 20:51 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2006-10-01 20:51 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2006-10-01 20:51 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2006-10-01 20:51 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2006-10-01 20:51 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2006-09-30 23:31 5,632 --a------ C:\WINDOWS\system32\drivers\d343port.sys
2006-09-30 23:31 136,704 --a------ C:\WINDOWS\system32\drivers\d343bus.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-17 19:15 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-17 19:09 289 --a------ C:\Programme\datFind.zip
2006-10-17 19:04 276886 --a------ C:\Programme\combofix.exe
2006-10-17 19:03 -------- d-------- C:\Dokumente und Einstellungen\Owned\Anwendungsdaten\Xfire
2006-10-17 18:58 339257 --a------ C:\Programme\CleanUp452.exe
2006-10-17 18:58 -------- d-------- C:\Programme\CleanUp!
2006-10-17 18:42 212849 --a------ C:\Programme\hijackthis.zip
2006-10-16 18:23 -------- d-------- C:\Dokumente und Einstellungen\Owned\Anwendungsdaten\teamspeak2
2006-10-13 15:01 -------- d-------- C:\Dokumente und Einstellungen\Owned\Anwendungsdaten\ATI
2006-10-13 14:59 -------- d-------- C:\Programme\ATI Technologies
2006-10-13 14:53 -------- d---s---- C:\Dokumente und Einstellungen\Owned\Anwendungsdaten\Microsoft
2006-10-13 14:49 -------- d---s---- C:\Programme\Xfire
2006-10-13 14:45 36371272 --a------ C:\Programme\6-9_xp-2k_dd_ccc_wdm_enu_35774.exe
2006-10-12 14:03 -------- d-------- C:\Programme\XDCC Catcher
2006-10-12 14:00 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-06 21:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-10-06 21:02 -------- d-------- C:\Dokumente und Einstellungen\Owned\Anwendungsdaten\Real
2006-10-03 20:36 -------- d-------- C:\Dokumente und Einstellungen\Owned\Anwendungsdaten\dvdcss
2006-10-02 15:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-02 09:52 -------- d-------- C:\Programme\Stardock
2006-10-02 09:52 -------- d-------- C:\Programme\Gemeinsame Dateien\Stardock
2006-10-01 22:21 -------- d-------- C:\Programme\Neuer Ordner
2006-10-01 20:52 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-01 20:51 -------- d-------- C:\Programme\Ubi Soft
2006-10-01 20:44 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-01 20:43 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-01 14:43 -------- d-------- C:\Dokumente und Einstellungen\Owned\Anwendungsdaten\Sierra
2006-09-30 23:31 -------- d-------- C:\Programme\D-Tools
2006-09-20 16:23 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-13 07:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-05 20:38 -------- d-------- C:\Programme\ICQToolbar
2006-09-05 20:15 -------- d-------- C:\Programme\ICQLite
2006-08-25 17:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-23 04:11 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2006-08-23 03:53 260096 --a------ C:\WINDOWS\system32\ati2dvag.dll
2006-08-23 03:53 1723904 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2006-08-23 03:47 114688 --a------ C:\WINDOWS\system32\atipdlxx.dll
2006-08-23 03:46 86016 --a------ C:\WINDOWS\system32\ati2evxx.dll
2006-08-23 03:46 77824 --a------ C:\WINDOWS\system32\Oemdspif.dll
2006-08-23 03:46 41984 --a------ C:\WINDOWS\system32\ati2edxx.dll
2006-08-23 03:46 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2006-08-23 03:45 413696 --a------ C:\WINDOWS\system32\ati2evxx.exe
2006-08-23 03:44 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2006-08-23 03:38 2401984 --a------ C:\WINDOWS\system32\ati3duag.dll
2006-08-23 03:33 303104 --a------ C:\WINDOWS\system32\ATIDEMGR.dll
2006-08-23 03:33 2510752 --a------ C:\WINDOWS\system32\ativvaxx.dll
2006-08-23 03:27 6684672 --a------ C:\WINDOWS\system32\atioglx1.dll
2006-08-23 03:24 5140480 --a------ C:\WINDOWS\system32\atioglxx.dll
2006-08-23 03:21 221184 --a------ C:\WINDOWS\system32\atikvmag.dll
2006-08-23 03:19 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2006-08-23 03:14 290816 --a------ C:\WINDOWS\system32\ati2cqag.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-19 10:47 -------- d-------- C:\Programme\Java
2006-08-16 13:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"="\"c:\\gamez\\steam\\steam.exe\" -silent"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"egdiag"="C:\\WINDOWS\\system32\\atrconf.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,d3,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,10,02,00,00,1f,00,00,00,e0,00,00,00,d1,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-10-17 19:18:45.98
C:\ComboFix.txt ... 06-10-17 19:18
C:\ComboFix2.txt ... 06-10-17 19:14
C:\ComboFix3.txt ... 06-10-17 19:12



Bat find

1. log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7089-C39C

Verzeichnis von C:\WINDOWS\system32

17.10.2006 19:22 2.206 wpa.dbl
17.10.2006 19:13 143.360 attstat.dll
17.10.2006 19:13 53.248 attprf32.dll
17.10.2006 19:13 49.152 atrconf.exe
17.10.2006 19:13 49.152 confatt.dll
17.10.2006 19:13 352.256 attmgr32.dll
17.10.2006 19:13 40.960 attperf.exe
17.10.2006 16:14 28.672 psapdani.dll
16.10.2006 17:02 270.336 constat.dll
16.10.2006 17:02 57.344 conprf32.dll
16.10.2006 17:02 61.440 confcon.dll
16.10.2006 17:02 540.672 conmgr32.dll
16.10.2006 17:02 49.152 conperf.exe
15.10.2006 15:17 106.496 samsusrr.dll
15.10.2006 15:16 8.704 e1.VIR
15.10.2006 15:16 20.480 netfrtm.VIR
15.10.2006 15:16 12.288 hypewmv9.exe
15.10.2006 15:16 28.672 psapdani.VIR
14.10.2006 14:09 392.296 perfh009.dat
14.10.2006 14:09 58.596 perfc009.dat
14.10.2006 14:09 70.580 perfc007.dat
14.10.2006 14:09 405.118 perfh007.dat
14.10.2006 14:09 898.932 PerfStringBackup.INI
13.10.2006 14:50 1.324 d3d9caps.dat
04.10.2006 22:03 9.639.336 MRT.exe
02.10.2006 15:16 100.640 FNTCACHE.DAT
13.09.2006 07:02 1.084.416 msxml3.dll
04.09.2006 08:12 1.494.016 shdocvw.dll
25.08.2006 17:46 617.472 comctl32.dll
23.08.2006 04:11 307.200 atiiiexx.dll
23.08.2006 03:53 260.096 ati2dvag.dll
23.08.2006 03:47 114.688 atipdlxx.dll
23.08.2006 03:46 77.824 Oemdspif.dll
23.08.2006 03:46 26.112 Ati2mdxx.exe
23.08.2006 03:46 41.984 ati2edxx.dll
23.08.2006 03:46 86.016 ati2evxx.dll
23.08.2006 03:45 413.696 ati2evxx.exe
23.08.2006 03:44 53.248 ATIDDC.DLL
23.08.2006 03:38 2.401.984 ati3duag.dll
23.08.2006 03:33 303.104 ATIDEMGR.dll
23.08.2006 03:33 2.510.752 ativvaxx.dll
23.08.2006 03:27 6.684.672 atioglx1.dll
23.08.2006 03:24 5.140.480 atioglxx.dll
23.08.2006 03:21 221.184 atikvmag.dll
23.08.2006 03:19 17.408 atitvo32.dll
23.08.2006 03:14 290.816 ati2cqag.dll
22.08.2006 21:05 520.192 ati2sgag.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
19.08.2006 10:47 8.891 jupdate-1.5.0_08-b03.log
16.08.2006 19:52 133.583 atiicdxx.dat
16.08.2006 13:58 100.352 6to4svc.dll
12.08.2006 15:50 7.006 jupdate-1.5.0_06-b05.log


2. log, mehr stand nicht bei mir.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7089-C39C

Verzeichnis von C:\DOKUME~1\Owned\LOKALE~1\Temp

17.10.2006 19:27 170 jusched.log
17.10.2006 19:23 2.373 browserview-f9eec4.htm
2 Datei(en) 2.543 Bytes
0 Verzeichnis(se), 27.969.732.608 Bytes frei


3. Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7089-C39C

Verzeichnis von C:\WINDOWS

17.10.2006 19:22 512.416 setupapi.log
17.10.2006 19:22 0 0.log
17.10.2006 19:21 1.186.873 WindowsUpdate.log
17.10.2006 19:21 2.048 bootstat.dat
17.10.2006 19:13 0 concfg.tmp
17.10.2006 19:01 32.560 SchedLgU.Txt
17.10.2006 18:19 0 hv4e05.dll
17.10.2006 13:00 138.642 ntbtlog.txt
16.10.2006 19:01 232.714 tsoc.log
16.10.2006 19:01 25.199 tabletoc.log
16.10.2006 19:01 35.094 MedCtrOC.log
16.10.2006 19:01 564.842 iis6.log
16.10.2006 19:01 175.330 comsetup.log
16.10.2006 19:01 1.943 imsins.log
16.10.2006 19:01 87.708 netfxocm.log
16.10.2006 19:01 27.600 ocmsn.log
16.10.2006 19:01 105.454 ntdtcsetup.log
16.10.2006 19:01 25.174 msgsocm.log
16.10.2006 19:01 247.844 ocgen.log
16.10.2006 19:01 489.422 FaxSetup.log
16.10.2006 19:01 155.744 msmqinst.log
16.10.2006 17:02 0 dbmdata.tmp
16.10.2006 17:02 0 avistat.tmp
16.10.2006 17:02 0 egadata.tmp
16.10.2006 01:12 216 wiadebug.log
15.10.2006 23:32 50 wiaservc.log
15.10.2006 19:23 0 h6j40x.txt
15.10.2006 19:23 3.144.800 dqpdroc.ini
15.10.2006 15:22 0 sc.xml1
14.10.2006 14:09 1.393 imsins.BAK
14.10.2006 14:09 12.225 KB923414.log
14.10.2006 14:09 13.078 KB924496.log
14.10.2006 14:09 24.445 updspapi.log
14.10.2006 14:07 11.735 KB923191.log
14.10.2006 03:12 14.438 KB924191.log
14.10.2006 03:09 14.380 KB922819.log
13.10.2006 14:46 10 Wininit.ini
12.10.2006 14:13 286 nsw.log
12.10.2006 14:02 2.359.350 darkportal-1024x.bmp
02.10.2006 15:25 78 wb.ini
01.10.2006 20:43 994 DirectX.log
28.09.2006 19:46 11.352 KB925486.log
16.09.2006 10:34 39.292 KB920872.log
14.09.2006 22:23 13.078 KB920685.log
14.09.2006 22:23 13.229 KB919007.log
14.09.2006 22:23 9.237 KB922582.log
15.08.2006 15:15 13.616 KB920214.log
15.08.2006 15:15 13.632 KB922616.log
15.08.2006 15:15 23.976 KB921398.log
13.08.2006 01:22 19.903 KB918899.log
13.08.2006 01:22 12.563 KB920670.log
13.08.2006 01:22 12.727 KB917422.log
13.08.2006 01:22 13.045 KB920683.log
12.08.2006 15:50 3.216 mozver.dat
11.08.2006 23:14 50.326 wmsetup.log
09.08.2006 22:13 11.096 KB921883.log
07.08.2006 09:59 2.909 KB893803v2Uninst.log
06.08.2006 12:30 6.376 WgaNotify.log


4. Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7089-C39C

Verzeichnis von C:\WINDOWS\Temp

17.10.2006 19:27 408 WGANotify.settings
17.10.2006 19:22 255 WGAErrLog.txt
2 Datei(en) 663 Bytes
0 Verzeichnis(se), 27.969.720.320 Bytes frei

5. Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7089-C39C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.05.2006 14:19 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 27.969.720.320 Bytes frei


6. Log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7089-C39C

Verzeichnis von C:\

17.10.2006 19:37 0 sys.txt
17.10.2006 19:36 296 down.txt
17.10.2006 19:35 334 tmp.txt
17.10.2006 19:34 9.339 system.txt
17.10.2006 19:32 352 systemtemp.txt
17.10.2006 19:31 93.356 system32.txt
17.10.2006 19:21 1.073.270.784 hiberfil.sys
17.10.2006 19:21 1.610.612.736 pagefile.sys
17.10.2006 19:18 10.536 ComboFix.txt
17.10.2006 19:14 9.126 ComboFix2.txt
17.10.2006 19:12 9.879 ComboFix3.txt
17.10.2006 18:55 4.321 hijackthis.log
25.05.2006 17:43 211 boot.ini
25.05.2006 14:21 0 MSDOS.SYS
25.05.2006 14:21 0 CONFIG.SYS
25.05.2006 14:21 0 IO.SYS
25.05.2006 14:21 0 AUTOEXEC.BAT
25.05.2006 14:14 211 BOOT.BKK
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.08.2001 14:00 4.952 bootfont.bin
21 Datei(en) 2.684.325.181 Bytes
0 Verzeichnis(se), 27.969.716.224 Bytes frei








zur beschreibung des problems.

jedesmal wenn ich irgendeine sache starte wie meinen internet explorer oder icq, xfire, gibt mir mein antivir diese viren warnungen.

Nach einiger zeit bekomm ich dann einen Systeme.exe fehler der die taskleiste (unten wo was windows zeichen ist und die einezelnen fenster drin sind) schwarz macht. die sind dann weg, dann kann ich sie nicht mehr benutzen.

#30 wrath

««
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\smm126.exe
C:\WINDOWS\system32\attstat.dll
C:\WINDOWS\system32\attprf32.dll
C:\WINDOWS\system32\atrconf.exe
C:\WINDOWS\system32\conperf.exe

poste die reporte, damit ich weiss, welche virenscanner das erkennen (ist eine neue Verseuchung....)

_________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\attmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\conmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr

Files to delete:
C:\WINDOWS\system32\attstat.dll
C:\WINDOWS\system32\attprf32.dll
C:\WINDOWS\system32\atrconf.exe
C:\WINDOWS\system32\confatt.dll
C:\WINDOWS\system32\attmgr32.dll
C:\WINDOWS\system32\attperf.exe
C:\WINDOWS\system32\psapdani.dll
C:\WINDOWS\system32\constat.dll
C:\WINDOWS\system32\conprf32.dll
C:\WINDOWS\system32\confcon.dll
C:\WINDOWS\system32\conmgr32.dll
C:\WINDOWS\system32\conperf.exe
C:\WINDOWS\system32\samsusrr.dll
C:\WINDOWS\system32\e1.VIR
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\netfrtm.VIR
C:\WINDOWS\system32\netfrtm.exe
C:\WINDOWS\system32\hypewmv9.exe
C:\WINDOWS\system32\psapdani.VIR
C:\WINDOWS\system32\psapdani.dll
C:\WINDOWS\system32\yapconf.exe
C:\WINDOWS\smm126.exe
C:\WINDOWS\hv4e05.dll
C:\WINDOWS\dbmdata.tmp
C:\WINDOWS\avistat.tmp
C:\WINDOWS\egadata.tmp
C:\WINDOWS\concfg.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\yapconf.exe

O20 - AppInit_DLLs: wbsys.dll psapdani.dll e1.dll confcon.dll constat.dll
O20 - Winlogon Notify: conmgr - C:\WINDOWS\SYSTEM32\conmgr32.dll
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll

**
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit