Virus lässt Internet abstürtzen und öffnet Pop-up's!

#0
16.10.2006, 01:55
...neu hier

Beiträge: 2
#1 Hallo Leute,

ich habe seit heute einen virus. leider weiß ich nicht wie er heißt und ich habe noch keinen gefunden der diesen virus auch hat.

auf jeden fall öffnent sich immer nach ca. 10 minuten ein kleines, rotes fenster auf meinem desktop worin steht "You computer is infected!". (siehe screenshot im anhang)

auch neu ist, dass in meiner taskleiste jetzt so ein rotes symbol leuchtet (siehe ebenfalls screenshot)

typisch ist das mein internet in unregelmäßigen abständen zusammenbricht/abstürtzt und das sich laufend pop-up fenster öffnen.

ich DANKE im vorraus schonmal jeden, der mir weiterhelfen kann.

mfg. Andy

Anhang: virus.JPG
Seitenanfang Seitenende
16.10.2006, 10:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Airshot

1.
scanne mit option 1 und 2 und poste hier beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2006, 11:39
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo,
hier sind die Logs:

zu 1.:

Scan done at 11:22:13,34, 16.10.2006
Run from D:\Dokumente und Einstellungen\Administrator\Desktop\andysmetalien\Antivirus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS.0


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS.0\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS.0\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS.0\system32

D:\WINDOWS.0\system32\ot.ico FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOKUME~1\ADMINI~1\FAVORI~1

D:\DOKUME~1\ADMINI~1\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» D:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End






SmitFraudFix v2.79

Scan done at 11:26:58,62, 16.10.2006
Run from D:\Dokumente und Einstellungen\Administrator\Desktop\andysmetalien\Antivirus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

D:\WINDOWS.0\system32\urroxtl.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

D:\WINDOWS.0\system32\ot.ico Deleted
D:\DOKUME~1\ADMINI~1\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


zu 2.:

Administrator - 06-10-16 11:16:25,85 Service Pack 2
ComboFix 06.10.16 - Running from: "D:\Dokumente und Einstellungen\Administrator\Desktop"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


Granting sedebugprivilege to Administratoren ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


D:\WINDOWS.0\system32\ishost.exe
D:\WINDOWS.0\system32\ismini.exe
D:\WINDOWS.0\system32\isnotify.exe
D:\WINDOWS.0\system32\issearch.exe
D:\WINDOWS.0\system32\tsuninst.exe
D:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
D:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
D:\Programme\Ipwins
D:\WINDOWS.0\system32\components
D:\Programme\Gemeinsame Dateien\{30F630CD-0959-1031-0829-020526050031}
D:\WINDOWS.0\system32\urroxtl.dll
D:\WINDOWS.0\system32\ixt0.dll
D:\Programme\Gemeinsame Dateien\{C0F630CD-0959-1031-0829-020526050031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

D:\QooBox\Purity\Dokumente und Einstellungen\Administrator\Eigene Dateien\ICROSO~1
D:\QooBox\Purity\Dokumente und Einstellungen\Administrator\Eigene Dateien\ICROSO~1\winlogon.exe
D:\QooBox\Purity\Dokumente und Einstellungen\Administrator\Eigene Dateien\ICROSO~1\?icrosoft
D:\QooBox\Purity\WINDOWS.0\ICROSO~1.NET
D:\QooBox\Purity\WINDOWS.0\ICROSO~1.NET\w?wexec.exe


((((((((((((((((((((((((((((((( Files Created from 2006-09-16 to 2006-10-16 ))))))))))))))))))))))))))))))))))


2006-10-16 11:13 53,248 --a------ D:\WINDOWS.0\system32\Process.exe
2006-10-16 11:13 42,496 --a------ D:\WINDOWS.0\system32\swreg.exe
2006-10-16 11:13 40,960 --a------ D:\WINDOWS.0\system32\swsc.exe
2006-10-16 11:13 288,417 --a------ D:\WINDOWS.0\system32\SrchSTS.exe
2006-10-15 20:10 91,648 --------- D:\WINDOWS.0\osl364mi.dll
2006-10-15 20:10 287,744 --------- D:\WINDOWS.0\uno364mi.dll
2006-10-15 20:10 109,568 --------- D:\WINDOWS.0\vos364mi.dll
2006-10-15 18:04 407,025 ---hs---- D:\WINDOWS.0\system32\qtvwa.bak2
2006-10-15 14:05 2 --a------ D:\WINDOWS.0\system32\wtssvit.exe
2006-10-15 14:05 131,072 --a------ D:\WINDOWS.0\system32\bemgehcg.dll
2006-10-15 02:08 98,324 --a------ D:\WINDOWS.0\system32\osuyvjgo.dll
2006-10-15 02:08 406,466 ---hs---- D:\WINDOWS.0\system32\qtvwa.bak1
2006-10-15 02:08 143,380 --a------ D:\WINDOWS.0\system32\etmjnafp.exe
2006-10-15 02:07 684,084 --------- D:\WINDOWS.0\system32\awvtq.dll
2006-10-15 01:45 40,973 ---hs---- D:\WINDOWS.0\system32\khfdecb.dll
2006-10-15 01:45 18,432 --a------ D:\WINDOWS.0\system32\winhoq32.dll
2006-10-15 01:09 43,520 --a------ D:\WINDOWS.0\system32\CmdLineExt03.dll
2006-10-08 15:24 5,632 --a------ D:\WINDOWS.0\system32\ptpusb.dll
2006-10-08 15:24 159,232 --a------ D:\WINDOWS.0\system32\ptpusd.dll
2006-09-29 21:58 86,016 --a------ D:\WINDOWS.0\system32\nvmctray.dll
2006-09-29 21:58 81,920 --a------ D:\WINDOWS.0\system32\nvwddi.dll
2006-09-29 21:58 659,228 --a------ D:\WINDOWS.0\system32\drivers\ALCXWDM.SYS
2006-09-29 21:58 65,856 -ra------ D:\WINDOWS.0\system32\drivers\saa7146n.sys
2006-09-29 21:58 60,288 --a------ D:\WINDOWS.0\system32\drivers\drmk.sys
2006-09-29 21:58 540,672 --a------ D:\WINDOWS.0\system32\nvhwvid.dll
2006-09-29 21:58 5,562,368 --a------ D:\WINDOWS.0\system32\nvcpl.dll
2006-09-29 21:58 5,332,992 --a------ D:\WINDOWS.0\system32\nvoglnt.dll
2006-09-29 21:58 48,640 --a------ D:\WINDOWS.0\system32\drivers\stream.sys
2006-09-29 21:58 46,974 --a------ D:\WINDOWS.0\system32\IPrtCnst.dll
2006-09-29 21:58 46,592 --a------ D:\WINDOWS.0\SOUNDMAN.EXE
2006-09-29 21:58 4,096 --a------ D:\WINDOWS.0\system32\ksuser.dll
2006-09-29 21:58 39,984 -ra------ D:\WINDOWS.0\system32\drivers\ttloophe.sys
2006-09-29 21:58 32,256 --a------ D:\WINDOWS.0\system32\nvcodins.dll
2006-09-29 21:58 32,256 --a------ D:\WINDOWS.0\system32\nvcod.dll
2006-09-29 21:58 3,980,288 --a------ D:\WINDOWS.0\system32\nv4_disp.dll
2006-09-29 21:58 3,454,656 --a------ D:\WINDOWS.0\system32\drivers\nv4_mini.sys
2006-09-29 21:58 286,720 --a------ D:\WINDOWS.0\system32\nvnt4cpl.dll
2006-09-29 21:58 145,792 --a------ D:\WINDOWS.0\system32\drivers\portcls.sys
2006-09-29 21:58 140,928 --a------ D:\WINDOWS.0\system32\drivers\ks.sys
2006-09-29 21:58 13,782 --a------ D:\WINDOWS.0\system32\drivers\IdeBusDr.sys
2006-09-29 21:58 13,692 --a------ D:\WINDOWS.0\system32\drivers\wfsys.sys
2006-09-29 21:58 127,043 --a------ D:\WINDOWS.0\system32\nvsvc32.exe
2006-09-29 21:57 68,224 --a------ D:\WINDOWS.0\system32\drivers\pci.sys
2006-09-29 21:57 42,368 --a------ D:\WINDOWS.0\system32\drivers\AGP440.SYS
2006-09-29 21:57 36,224 --a------ D:\WINDOWS.0\system32\drivers\isapnp.sys
2006-09-29 21:12 65,280 --a------ D:\WINDOWS.0\system32\drivers\Rtlnic51.sys
2006-09-29 21:03 221,184 --a------ D:\WINDOWS.0\system32\wmpns.dll
2006-09-26 18:00 10,578 --a------ D:\WINDOWS.0\system32\drivers\hamachi.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-16 11:19 -------- d-------- D:\Programme\Gemeinsame Dateien
2006-10-15 20:11 -------- d-------- D:\Programme\Gemeinsame Dateien\fun communications
2006-10-15 20:10 -------- d--h----- D:\Programme\InstallShield Installation Information
2006-10-15 20:10 -------- d-------- D:\Programme\T-Online
2006-10-15 20:09 -------- d-------- D:\Programme\T-Online Fotoservice
2006-10-15 13:22 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Xfire
2006-10-15 02:22 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\UseNeXT
2006-10-14 19:42 -------- d---s---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2006-10-13 22:41 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2006-10-08 00:18 -------- d-------- D:\Programme\GameSpy Arcade
2006-10-05 23:05 -------- d-------- D:\Programme\FotoWorks
2006-09-27 21:57 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hamachi
2006-09-26 14:13 451976 --a------ D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-13 11:25 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MSN6
2006-09-13 07:02 1084416 --a------ D:\WINDOWS.0\system32\msxml3.dll
2006-09-12 13:50 -------- d-------- D:\Programme\MIKSOFT
2006-09-05 13:17 88 ---hs---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.zreglib
2006-09-03 16:35 -------- d-------- D:\Programme\mresreg
2006-09-02 02:56 -------- d-------- D:\Programme\Polygonsoft
2006-08-28 06:52 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SlySoft
2006-08-27 23:23 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
2006-08-27 23:03 -------- d-------- D:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-08-27 22:40 -------- d-------- D:\Programme\Adobe
2006-08-27 22:37 -------- d-------- D:\Programme\Gemeinsame Dateien\Adobe
2006-08-25 17:46 617472 --a------ D:\WINDOWS.0\system32\comctl32.dll
2006-08-25 16:26 -------- d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Firstload
2006-08-21 14:26 16896 --a------ D:\WINDOWS.0\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ D:\WINDOWS.0\system32\fltmc.exe
2006-08-21 11:14 128896 --------- D:\WINDOWS.0\system32\drivers\fltmgr.sys
2006-08-18 03:58 20096 --a------ D:\WINDOWS.0\system32\drivers\AnyDVD.sys
2006-08-16 13:58 100352 --a------ D:\WINDOWS.0\system32\6to4svc.dll
2006-08-16 11:37 225664 --a------ D:\WINDOWS.0\system32\drivers\tcpip6.sys
2006-08-13 05:12 73216 --a------ D:\WINDOWS.0\ST6UNST.EXE
2006-08-13 05:12 286720 --------- D:\WINDOWS.0\Setup1.exe
2006-08-12 22:53 729088 --a------ D:\WINDOWS.0\iun6002.exe
2006-08-04 12:27 14255 --a------ D:\WINDOWS.0\system32\sfc_os32.dll
2006-08-03 13:49 1167 --a------ D:\WINDOWS.0\system32\itw82a3a.sys
2006-08-03 12:49 61952 --a------ D:\WINDOWS.0\system32\itw82a3a.dll
2006-08-03 01:35 2323072 --a------ D:\WINDOWS.0\system32\TUKernel.exe
2006-08-02 23:44 87184 --a------ D:\WINDOWS.0\NSUninst.exe
2006-08-02 23:44 87184 --a------ D:\WINDOWS.0\GREUninstall.exe
2006-08-02 13:35 276 --a------ D:\WINDOWS.0\system32\n.bat
2006-08-02 12:23 475 --a------ D:\Programme\INSTALL.LOG
2006-07-30 18:40 2368 --a------ D:\WINDOWS.0\system32\SVKP.sys
2006-07-27 15:25 679424 --a------ D:\WINDOWS.0\system32\inetcomm.dll
2006-07-27 07:50 24064 --a------ D:\WINDOWS.0\autoload.exe
2006-07-26 18:55 62 --ahs---- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini
2006-07-21 10:29 72704 --a------ D:\WINDOWS.0\system32\hlink.dll
2006-07-17 17:19 579090 --a------ D:\WINDOWS.0\system32\x264vfw.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE D:\\WINDOWS.0\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,04,05,00,00,fc,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,04,05,00,00,fc,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="D:\\WINDOWS.0\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="D:\\WINDOWS.0\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="D:\\WINDOWS.0\\system32\\ctfmon.exe"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\INFOCOCKPIT.EXE /nosplash"
"Steam"=""
"MSMSGS"="\"D:\\Programme\\Messenger\\msmsgs.exe\" /background"
"MsnMsgr"="\"D:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"AnyDVD"="C:\\Programme\\Ebly\\AnyDVD\\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ehTray"="D:\\WINDOWS.0\\ehome\\ehtray.exe"
"SoundMan"="SOUNDMAN.EXE"
"NvMediaCenter"="RUNDLL32.EXE D:\\WINDOWS.0\\system32\\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="D:\\WINDOWS.0\\system32\\NeroCheck.exe"
"ElbyCheckElbyCDFL"="C:\\Programme\\Ebly\\CloneCD\\ElbyCheck.exe /L ElbyCDFL"
"CloneCDTray"="C:\\Programme\\Ebly\\CloneCD\\CloneCDTray.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"ccApp"="D:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe"
"ccRegVfy"="D:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccRegVfy.exe"
"avgnt"="\"D:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"IpWins"="D:\\Programme\\ipwins\\ipwins.exe"
"TkBellExe"="\"D:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"NvCplDaemon"="RUNDLL32.EXE D:\\WINDOWS.0\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
D:\WINDOWS.0\tasks\Symantec NetDetect.job

Completion time: 06-10-16 11:19:43.71
D:\ComboFix.txt ... 06-10-16 11:19



zu 3.:

Logfile of HijackThis v1.99.1
Scan saved at 11:30:46, on 16.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS.0\System32\smss.exe
D:\WINDOWS.0\system32\winlogon.exe
D:\WINDOWS.0\system32\services.exe
D:\WINDOWS.0\system32\lsass.exe
D:\WINDOWS.0\system32\svchost.exe
D:\WINDOWS.0\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS.0\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS.0\ehome\ehSched.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS.0\system32\nvsvc32.exe
D:\WINDOWS.0\System32\svchost.exe
D:\WINDOWS.0\system32\NOTEPAD.EXE
D:\WINDOWS.0\system32\wuauclt.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS.0\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {BB683E5E-F3C6-CA43-B719-F47A92ED0DE4} - D:\WINDOWS.0\system32\bemgehcg.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C404FE63-9580-4EF1-99E4-77039D9BF003}: NameServer = 217.237.149.225 217.237.150.188
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
Seitenanfang Seitenende
16.10.2006, 17:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhoq32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB683E5E-F3C6-CA43-B719-F47A92ED0DE4}

Files to delete:
D:\WINDOWS.0\osl364mi.dll
D:\WINDOWS.0\uno364mi.dll
D:\WINDOWS.0\vos364mi.dll
D:\WINDOWS.0\system32\qtvwa.bak2
D:\WINDOWS.0\system32\wtssvit.exe
D:\WINDOWS.0\system32\bemgehcg.dll
D:\WINDOWS.0\system32\osuyvjgo.dll
D:\WINDOWS.0\system32\qtvwa.bak1
D:\WINDOWS.0\system32\etmjnafp.exe
D:\WINDOWS.0\system32\awvtq.dll
D:\WINDOWS.0\system32\khfdecb.dll
D:\WINDOWS.0\system32\winhoq32.dll

Folders to delete:
D:\Programme\ipwins
D:\Programme\Gemeinsame Dateien\fun communications
D:\Programme\Gemeinsame Dateien\{30F630CD-0959-1031-0829-020526050031}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

__________________

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {BB683E5E-F3C6-CA43-B719-F47A92ED0DE4} - D:\WINDOWS.0\system32\bemgehcg.dll
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »