WORM/Warezov Problem - Beseitigung möglich?

#1 Moin!

Habe seit einigen Tagen das Problem, dass mich oben genannter Wurm in verschiedenen Versionen nervt.

WORM/Warezov.DF.1
WORM/Warezov.CU.5

Só lauten die Namen, werden aber wohl die gleiche Herkunft haben.
Was soll ich tun?

Gruß Fido

#2 poste alles diese logs, dann helfe ich dir, das zu reinigen
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 1.

Logfile of HijackThis v1.99.1
Scan saved at 18:46:01, on 23.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Florian Prill\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe
O4 - HKLM\..\Run: [sserrvv] C:\WINDOWS\sserrvv.exe s
O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\cc5.exe s
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152483952640
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.de/clients/uploader.cab
O20 - AppInit_DLLs: e1.dll psbaavic.dll confaud.dll audstat.dll
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: dfssrasc - C:\WINDOWS\system32\dfssrasc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Magix\Common\Database\bin\fbserver.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

2. COmbofix

Florian Prill - 06-10-23 18:50:09,95 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Florian Prill\Eigene Dateien"

((((((((((((((((((((((((((((((( Files Created from 2006-09-23 to 2006-10-23 ))))))))))))))))))))))))))))))))))


2006-10-22 11:43 40,448 --a------ C:\WINDOWS\system32\scsm.exe
2006-10-19 17:12 40,960 --ah----- C:\WINDOWS\system32\audperf.exe
2006-10-19 17:12 143,360 --ah----- C:\WINDOWS\system32\audstat.dll
2006-10-18 12:01 8,704 --a------ C:\WINDOWS\system32\e1.dll
2006-10-18 12:01 28,672 --a------ C:\WINDOWS\system32\psbaavic.dll
2006-10-18 12:01 24,576 --a------ C:\WINDOWS\system32\offfmsre.dll
2006-10-18 12:01 20,480 --a------ C:\WINDOWS\system32\ipsmwebh.exe
2006-10-18 12:01 122,880 --a------ C:\WINDOWS\system32\dfssrasc.dll
2006-10-08 22:52 306,688 C:\WINDOWSUninstall Spielesammlung.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-23 18:45 13440 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-10-23 18:45 125 ---hs---- C:\Dokumente und Einstellungen\Florian Prill\Anwendungsdaten\.zreglib
2006-10-23 18:42 -------- d-------- C:\Programme\CleanUp!
2006-10-23 13:55 -------- d-------- C:\Programme\ICQLite
2006-10-23 13:25 -------- d-------- C:\Dokumente und Einstellungen\Florian Prill\Anwendungsdaten\teamspeak2
2006-10-22 15:25 -------- d-------- C:\Programme\pics
2006-10-20 15:00 -------- d-------- C:\Programme\EQ2MAP Updater
2006-10-18 11:12 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-18 11:12 -------- d-------- C:\Programme\eBay
2006-10-17 18:47 -------- d-------- C:\Programme\FTP Commander
2006-10-16 15:13 -------- d-------- C:\Dokumente und Einstellungen\Florian Prill\Anwendungsdaten\Skype
2006-10-16 00:11 11758 --a------ C:\Dokumente und Einstellungen\Florian Prill\Anwendungsdaten\wklnhst.dat
2006-10-15 21:37 -------- d-------- C:\Programme\Teamspeak2_RC2
2006-10-15 00:24 -------- d-------- C:\Programme\Motorola Phone Tools
2006-10-15 00:23 25600 --a------ C:\WINDOWS\system32\drivers\usbsermptxp.sys
2006-10-14 19:43 -------- d-------- C:\Programme\QIP
2006-10-14 15:59 -------- d-------- C:\Programme\MSXML 4.0
2006-10-12 19:03 -------- d-------- C:\Dokumente und Einstellungen\Florian Prill\Anwendungsdaten\Azureus
2006-10-09 23:56 -------- d-------- C:\Programme\Romm‚ 1
2006-10-09 23:55 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2006-09-30 20:16 -------- d-------- C:\Programme\eMule
2006-09-25 11:55 -------- d-------- C:\Programme\Google
2006-09-13 07:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 17:51 1245184 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-11 11:04 -------- d-------- C:\Programme\SlySoft
2006-09-08 12:00 -------- d-------- C:\Programme\Gemeinsame Dateien\RO-SOFT
2006-09-08 12:00 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-08 11:36 -------- d-------- C:\Programme\Elaborate Bytes
2006-09-05 15:10 20096 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2006-08-31 15:33 -------- d-------- C:\Programme\Azureus
2006-08-25 17:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 13:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-10 17:44 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"AnyDVD"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"Dit"="Dit.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"audiag"="C:\\WINDOWS\\system32\\audconf.exe"
"sserrvv"="C:\\WINDOWS\\sserrvv.exe s"
"chater.exe"="C:\\WINDOWS\\cc5.exe s"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dfssrasc

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-23 18:50:34.98
C:\ComboFix.txt ... 06-10-23 18:50


3. datfind:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2473-146C

Verzeichnis von C:\WINDOWS\system32

23.10.2006 18:45 2.206 wpa.dbl
22.10.2006 11:43 40.448 scsm.exe
19.10.2006 17:12 143.360 audstat.dll
19.10.2006 17:12 40.960 audperf.exe
18.10.2006 12:01 122.880 dfssrasc.dll
18.10.2006 12:01 8.704 e1.dll
18.10.2006 12:01 28.672 psbaavic.dll
18.10.2006 12:01 20.480 ipsmwebh.exe
18.10.2006 12:01 24.576 offfmsre.dll
14.10.2006 22:23 34.064 lhacm.acm
12.10.2006 00:32 62.344 perfc009.dat
12.10.2006 00:32 401.064 perfh009.dat
12.10.2006 00:32 415.470 perfh007.dat
12.10.2006 00:32 74.996 perfc007.dat
12.10.2006 00:32 926.958 PerfStringBackup.INI
04.10.2006 22:03 9.639.336 MRT.exe
13.09.2006 07:02 1.084.416 msxml3.dll
12.09.2006 17:51 1.245.184 msxml4.dll
04.09.2006 08:12 1.494.016 shdocvw.dll
25.08.2006 17:46 617.472 comctl32.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 13:58 100.352 6to4svc.dll
10.08.2006 17:44 43.520 CmdLineExt03.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2473-146C

Verzeichnis von C:\DOKUME~1\FLORIA~1\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2473-146C

Verzeichnis von C:\WINDOWS

23.10.2006 18:45 0 0.log
23.10.2006 18:45 1.543.173 WindowsUpdate.log
23.10.2006 18:44 2.048 bootstat.dat
23.10.2006 18:44 32.540 SchedLgU.Txt
23.10.2006 13:18 16 msupdtwiz.dat
22.10.2006 22:46 116.724 ModemLog_Motorola USB Modem #2.txt
22.10.2006 16:06 1.969.581.653 sc.tmp
22.10.2006 15:49 1.986.479.607 sserrvv.wax
22.10.2006 15:47 4 sserrvv.c
22.10.2006 14:43 943.329 setupapi.log
22.10.2006 14:32 0 sserrvv.s
22.10.2006 12:50 16 serrv.dat
22.10.2006 12:44 0 sserrvv.z
22.10.2006 11:45 0 jw9ucgel.scf
19.10.2006 17:12 0 attcfg.tmp
19.10.2006 17:12 0 concfg.tmp
19.10.2006 17:12 0 egadata.tmp
19.10.2006 12:55 50 wiaservc.log
19.10.2006 12:55 159 wiadebug.log
16.10.2006 16:30 116 NeroDigital.ini
12.10.2006 13:10 207.730 wmsetup.log
12.10.2006 00:28 106.670 iis6.log
12.10.2006 00:28 116.544 ntdtcsetup.log
12.10.2006 00:28 192.494 comsetup.log
12.10.2006 00:28 26.449 ocmsn.log
12.10.2006 00:28 267.771 tsoc.log
12.10.2006 00:28 1.393 imsins.log
12.10.2006 00:28 13.604 KB922819.log
12.10.2006 00:28 352.731 ocgen.log
12.10.2006 00:28 34.777 msgsocm.log
12.10.2006 00:28 681.312 FaxSetup.log
12.10.2006 00:28 44.138 updspapi.log
12.10.2006 00:27 1.393 imsins.BAK
12.10.2006 00:27 12.013 KB924191.log
12.10.2006 00:27 8.762 KB923191.log
12.10.2006 00:27 10.893 KB924496.log
12.10.2006 00:27 10.856 KB923414.log
09.10.2006 23:56 307 Romme.INI
09.10.2006 23:55 73.216 cadkasdeinst01.exe
08.10.2006 22:52 401 Uninstall Spielesammlung.ini
27.09.2006 11:54 10.546 KB925486.log
16.09.2006 16:33 206.725 setupact.log
13.09.2006 10:30 14.033 KB920872.log
13.09.2006 10:30 12.589 KB920685.log
13.09.2006 10:30 12.638 KB919007.log
13.09.2006 10:30 8.751 KB922582.log
08.09.2006 12:03 141 WINLIGA.INI
09.08.2006 12:06 19.238 KB920214.log
09.08.2006 12:06 19.545 KB922616.log
09.08.2006 12:06 19.119 KB921398.log
09.08.2006 12:06 18.628 KB920683.log
09.08.2006 12:06 17.169 KB920670.log
09.08.2006 12:06 17.326 KB917422.log
09.08.2006 12:06 20.633 KB918899.log
09.08.2006 12:04 14.266 KB921883.log
25.07.2006 14:08 6.416 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
25.07.2006 13:59 588 KB833680.log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2473-146C

Verzeichnis von C:\WINDOWS\Temp

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2473-146C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.09.2006 11:32 1.043.696 uploader_uni.ocx
08.08.2006 11:45 576 kavwebscan.inf

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2473-146C

Verzeichnis von C:\

23.10.2006 18:54 0 sys.txt
23.10.2006 18:53 899 down.txt
23.10.2006 18:53 108 tmp.txt
23.10.2006 18:53 11.703 system.txt
23.10.2006 18:53 127 systemtemp.txt
23.10.2006 18:52 98.880 system32.txt
23.10.2006 18:50 8.228 ComboFix.txt
23.10.2006 18:44 805.306.368 pagefile.sys
23.10.2006 13:45 588 avenger.txt
23.10.2006 13:44 5.542 trpbgpxe.txt
23.10.2006 13:43 468 errorlog.txt
25.07.2006 14:08 0 DBS.TXT


Soweit die Logs... besten dank schon mal für die Hilfe!

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\software\microsoft\windows\currentversion\run|audiag
HKLM\software\microsoft\windows\currentversion\run|sserrvv
HKLM\software\microsoft\windows\currentversion\run|chater.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dfssrasc

Files to delete:
C:\WINDOWS\system32\scsm.exe
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\system32\audperf.exe
C:\WINDOWS\system32\dfssrasc.dll
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\psbaavic.dll
C:\WINDOWS\system32\ipsmwebh.exe
C:\WINDOWS\system32\offfmsre.dll
C:\WINDOWS\msupdtwiz.dat
C:\WINDOWS\sc.tmp
C:\WINDOWS\sserrvv.wax
C:\WINDOWS\sserrvv.c
C:\WINDOWS\sserrvv.s
C:\WINDOWS\serrv.dat
C:\WINDOWS\sserrvv.z
C:\WINDOWS\sserrvv.exe
C:\WINDOWS\cc5.exe
C:\WINDOWS\jw9ucgel.scf
C:\WINDOWS\attcfg.tmp
C:\WINDOWS\concfg.tmp
C:\WINDOWS\egadata.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip

_______________

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere diesen Code rein:

Zitat

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" >RegQuery.txt
notepad RegQuery.txt

3. Speichere die Datei als Fix.bat auf Desktop
4. Doppelklick auf die Datei Fix.bat, dann wird eine RegQuery.txt Datei erstellt,den Inhalt hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Der Inhalt der RegQuery.txt Datei ist leer... im Ausführungsfenster steht folgendes:



C:\Dokumente und Einstellungen\Florian Prill\Desktop>reg query "HKEY_LOCAL_MACHI
NE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" 1>RegQuery.txt

Fehler: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden w
erden.

C:\Dokumente und Einstellungen\Florian Prill\Desktop>notepad RegQuery.txt

#6 ««
Um die Diensteverwaltung explizit aufzurufen, gib unter Start -- Ausführen den Befehl ein: services.msc

ueberpruefen, ob es den Dienst: Automatische Updates gibt
-----------
««
update.zip laden - entpacken - update.bat doppeltklicken - abkopieren, was im Texteditor erscheint - RegQuery.txt
http://virus-protect.org/zip/update.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#7

Zitat

««
Um die Diensteverwaltung explizit aufzurufen, gib unter Start -- Ausführen den Befehl ein: services.msc

ueberpruefen, ob es den Dienst: Automatische Updates gibt
-----------
««
update.zip laden - entpacken - update.bat doppeltklicken - abkopieren, was im Texteditor erscheint - RegQuery.txt
http://virus-protect.org/zip/update.zip

Dienst Automatische Updates ist vorhanden. Auch mit update.zip erscheint die gleiche Meldung wie im vorige Thread meinerseits und die Regquery.txt ist leer.

#8 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001

PC neustarten und die alte update.zip loeschen , neu laden und neu anwenden

________

1. Klick auf Start > Systemsteuerung.
2. Doppelklicken auf Sicherheitscenter.
3. Klicke im rechten Teilfenster auf Windows-Firewall. Die Windows-Firewall wird angezeigt.
4. Wähle die Option Aktiv aus.
5. Klicke auf OK, um die Windows-Firewall zu schließen.
6. Wähle im linken Teilfenster des Sicherheitscenters die Option Warneinstellungen des Sicherheitscenters ändern.
7. Click Alert Settings.
8. Wähle die Optionen Automatische Updates, Firewall und Virenschutz
9. Klicke auf OK.
10. Klicke auf Automatische Updates.
11. Wähle die Option Automatisch aus.
12. Klicke auf OK.
13. Schließe das Sicherheitscenter.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 RegQuery.txt:


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU


------------
Sicherheitscenter: Option Automatisch grau unterlegt und kann nicht ausgewählt werden. Zurzeit ist die option Updates downloaden, Installationszeitpunkt manuell festlegen. Änderung, wie gesagt nicht möglich!

#10 Oeffne die Registry
Start - Ausfuehren - regedit

klicke dich durch zum Schluessel:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

oben links: import anklicken, dann suche die fixme.reg und klicke "oeffnen" - die regdatei wird in die Registry uebertragen werden.

dann starte den rechner neu und wende noch mal update.bat an
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Durchgeführt, Regquery.txt:


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

#12 mache alles noch mal von vorn, benenne die reg-Datei in import.reg
(siehe unten auf der Seite)
http://virus-protect.org/artikel/spyware/warezov_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Mmmhhh... habe ich gemacht, aber die Regquery.txt sieht gleich aus:


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

#14 gehe in die registry
Start - Ausfuehren - regedit
klicke dich durch zum Schluessel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

und berichte, ob die Daten, die du importieren solltest - vorhanden sind



du kannst auch oben links auf "exportieren" klicken und die Datei als txt-Datei abspeichern und den Text hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001

Also, ist alles soweit wohl vorhanden!