Home » Spyware & Browser Hijacker Support Forum » Firefox - Tracking Cookies und Trojaner lassen sich nicht löschen... » Themenansicht

Firefox - Tracking Cookies und Trojaner lassen sich nicht löschen...
#0
31.10.2006, 15:48
coromandel
...neu hier

Beiträge: 4
#1 Hallo Zusammen,

habe seit gestern Nacht ziemlich resistente Probleme mit Trojanern und Tracking Cookies, die jede Menge lästiger Popups (Systemdoctor 2006, WinAntiVirusPro, Pogo etc) öffnet. Hbe bereits mit Ad-Aware und Spybot versucht zu eliminuren, aber alle sind sind samt und sonders wieder da bzw lassen sich nicht eliminieren.
Die Hijack-Logfiles (anbei) sagen aus m.E. nicht viel aus....

Ausserdem hatte ich beim runterfahren einen fehler mit dem XPCOM Eventreceiver und der Windows Explorer stürzt auch gelegentlich ab mit "Fehler in ANwendung..."

Nachdem ich jetzt schon seit heute morgen sitze und trotz ständigen Googelns und Versuchen mit verschiedenen Programmen auch nicht weiter komme (von der anderen Arbeit, die liegen bleibt nicht zu reden), kann mir vielleicht jemand weiter helfen, wie ich das System wieder sauber bekomme??


Logfile of HijackThis v1.99.1
Scan saved at 15:46:29, on 31.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~2\Grisoft\avgamsvr.exe
C:\PROGRA~2\Grisoft\avgupsvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
c:\jetsuite\jsdaemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~2\Grisoft\avgcc.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme-Sonstige\SonyEricsson\Application Launcher\Application Launcher.exe
C:\Programme-Sonstige\Acronis\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme-Sonstige\Skype\Skype.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\jetsuite\JETSTAT.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
c:\jetsuite\JSFMAN.EXE
C:\Programme-Sonstige\Speedfan\speedfan.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme-Sonstige\SonyEricsson\Mobile Phone Monitor\epmworker.exe
C:\Programme-Sonstige\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme-Sonstige\Optimierungsprogramme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boerse-go.de/tools/realtime.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~2\Grisoft\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme-Sonstige\SonyEricsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme-Sonstige\Acronis\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme-Sonstige\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Schmaili] REM C:\Programme-Sonstige\Smileys\Schmaili84\schmaili.exe
O4 - Startup: EFSUM.lnk = C:\Programme-Sonstige\StartUpManager\EFSUM.EXE
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: DllCmd32.lnk = C:\jetsuite\DLLCMD32.EXE
O4 - Global Startup: HP LaserJet 3100 Status.lnk = C:\jetsuite\JETSTAT.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme-Sonstige\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme-Sonstige\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



Vielen Dank schon vorab für Eure Hilfe und Tipps

Grüsse
Coromandel
Seitenanfang Seitenende
31.10.2006, 16:10
raman
Moderator

Beiträge: 7805
#2 Ich denke, das das Vundo ist. Benenne die Hijackthis exe mal in th.com um erstelle damit ein neues log und poste den Reste der Reporte, die hier verlangt werden:
http://board.protecus.de/t23187.htm

Wenn die Reinigung beendet ist, musst du noch ein Windowsupdate via www.windowsupdate.com machen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
31.10.2006, 17:55
coromandel
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Raman,

erstmal vielen Dank, dass Du Dich meines Problems angenommen hast !! :-)

Wie angefordert die Logs:

Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:02:20, on 31.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~2\Grisoft\avgamsvr.exe
C:\PROGRA~2\Grisoft\avgupsvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
c:\jetsuite\jsdaemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~2\Grisoft\avgcc.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme-Sonstige\SonyEricsson\Application Launcher\Application Launcher.exe
C:\WINDOWS\System32\alg.exe
C:\Programme-Sonstige\Acronis\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme-Sonstige\Skype\Skype.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\jetsuite\JETSTAT.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
c:\jetsuite\JSFMAN.EXE
C:\Programme-Sonstige\Speedfan\speedfan.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme-Sonstige\SonyEricsson\Mobile Phone Monitor\epmworker.exe
C:\Programme-Sonstige\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme-Sonstige\Optimierungsprogramme\th.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boerse-go.de/tools/realtime.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\OPTIMI~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {8D7BB3CC-B4CA-49B6-8893-E02E645725D5} - C:\WINDOWS\system32\geeba.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\myjreitg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~2\Grisoft\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme-Sonstige\SonyEricsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme-Sonstige\Acronis\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme-Sonstige\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Schmaili] REM C:\Programme-Sonstige\Smileys\Schmaili84\schmaili.exe
O4 - Startup: EFSUM.lnk = C:\Programme-Sonstige\StartUpManager\EFSUM.EXE
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: DllCmd32.lnk = C:\jetsuite\DLLCMD32.EXE
O4 - Global Startup: HP LaserJet 3100 Status.lnk = C:\jetsuite\JETSTAT.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O20 - Winlogon Notify: geeba - C:\WINDOWS\system32\geeba.dll
O20 - Winlogon Notify: winzoa32 - winzoa32.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~2\Grisoft\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme-Sonstige\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme-Sonstige\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

++++++++++++++

COMBOFIX

Andreas - 06-10-31 17:29:28,59 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Programme-Sonstige\Optimierungsprogramme\Combifox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\{6445C150-0AF0-1031-1001-040204230031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-31 to 2006-10-31 ))))))))))))))))))))))))))))))))))


2006-10-31 17:28 110,612 --a------ C:\WINDOWS\system32\dmawgtdu.exe
2006-10-31 17:15 492,315 ---hs---- C:\WINDOWS\system32\abeeg.bak1
2006-10-31 17:15 110,612 --a------ C:\WINDOWS\system32\cmtpbues.exe
2006-10-31 17:07 110,612 --a------ C:\WINDOWS\system32\whwnhdci.exe
2006-10-31 16:59 110,612 --a------ C:\WINDOWS\system32\mrgafrrn.exe
2006-10-31 14:00 60,436 --a------ C:\WINDOWS\system32\myjreitg.dll
2006-10-31 14:00 110,612 --a------ C:\WINDOWS\system32\pcaqyhgx.exe
2006-10-31 12:38 110,612 --a------ C:\WINDOWS\system32\pjnfxbdq.exe
2006-10-31 12:38 110,612 --a------ C:\WINDOWS\system32\jwbdshfj.exe
2006-10-31 11:45 110,612 --a------ C:\WINDOWS\system32\kiisrmcw.exe
2006-10-31 11:42 110,612 --a------ C:\WINDOWS\system32\nhwgmctl.exe
2006-10-31 11:11 110,612 --a------ C:\WINDOWS\system32\btcsbdld.exe
2006-10-31 10:21 110,612 --a------ C:\WINDOWS\system32\cpuqltgg.exe
2006-10-30 13:20 110,612 --a------ C:\WINDOWS\system32\qtbtgqkm.exe
2006-10-29 18:21 688,180 --------- C:\WINDOWS\system32\geeba.dll
2006-10-29 18:04 40,973 ---hs---- C:\WINDOWS\system32\iifeffg.dll
2006-10-29 15:32 8,413 --a------ C:\WINDOWS\system32\drivers\mcstrm.sys
2006-10-29 14:59 3,968 --a------ C:\WINDOWS\system32\drivers\avgclean.sys
2006-10-16 21:53 507,392 --a------ C:\WINDOWS\system32\autoprnt.exe
2006-10-16 21:53 126,976 --a------ C:\WINDOWS\system32\snapapi.dll
2006-10-16 14:08 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2006-10-16 14:08 286,720 --------- C:\WINDOWS\Setup1.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-31 17:29 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-31 17:22 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Skype
2006-10-31 17:17 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FRITZ!
2006-10-31 13:51 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\AVG7
2006-10-31 12:43 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-31 11:36 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Lavasoft
2006-10-30 19:01 -------- d-------- C:\Programme\Cinergy Digital
2006-10-30 13:20 -------- d-------- C:\Programme\VSAdd-in
2006-10-29 15:32 -------- d-------- C:\Programme\Real
2006-10-29 15:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-10-29 15:32 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Real
2006-10-29 14:59 816288 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2006-10-29 14:59 4224 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-10-29 14:59 28416 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-10-29 14:59 -------- d-------- C:\Programme\Grisoft
2006-10-25 19:45 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\CyberLink
2006-10-25 14:00 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Ahead
2006-10-25 13:58 -------- d-------- C:\Programme\Nero
2006-10-25 13:56 -------- d-------- C:\Programme\Ahead
2006-10-21 23:35 -------- d-------- C:\Programme\Apple Software Update
2006-10-21 10:46 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\AdobeUM
2006-10-19 18:15 -------- d-------- C:\Programme\Google
2006-10-16 21:53 81280 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2006-10-16 21:53 37888 --a------ C:\WINDOWS\system32\setupnt.dll
2006-10-16 21:53 28064 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys
2006-10-16 21:53 201984 --a------ C:\WINDOWS\system32\drivers\timntr.sys
2006-10-16 21:53 -------- d-------- C:\Programme\Gemeinsame Dateien\Acronis
2006-10-15 12:24 -------- d-------- C:\Programme\TuneUp Utilities 2004
2006-10-15 11:10 -------- d-------- C:\Programme\Acronis
2006-09-17 11:02 -------- d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Apple Computer
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-08 13:07 37027 --a------ C:\WINDOWS\atmoUn.exe
2006-09-08 13:07 -------- d-------- C:\Programme\Viewpoint
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Skype"="\"C:\\Programme-Sonstige\\Skype\\Skype.exe\" /nosplash /minimized"
"Schmaili"="REM C:\\Programme-Sonstige\\Smileys\\Schmaili84\\schmaili.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Smapp"="C:\\Programme\\Analog Devices\\SoundMAX\\SMTray.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\point32.exe\""
"AVG7_CC"="C:\\PROGRA~2\\Grisoft\\avgcc.exe /STARTUP"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"Sony Ericsson PC Suite"="\"C:\\Programme-Sonstige\\SonyEricsson\\Application Launcher\\Application Launcher.exe\" /startoptions"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Acronis True Image Monitor"="\"C:\\Programme-Sonstige\\Acronis\\TrueImageMonitor.exe\""
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"AtiPTA"="atiptaxx.exe"
"ScreenManager Pro for LCD"="C:\\Programme\\EIZO\\ScreenManager Pro for LCD\\Lcdctrl.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,30,01,00,00,00,04,00,00,00,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,92,02,00,00,3d,00,00,00,1c,01,00,00,26,01,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~2\\Grisoft\\avgw.exe /RUNONCE"
"Schmaili"="C:\\Programme-Sonstige\\Smileys\\Schmaili84\\schmaili.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~2\\Grisoft\\avgw.exe /RUNONCE"
"Schmaili"="C:\\Programme-Sonstige\\Smileys\\Schmaili84\\schmaili.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoCDBurning"=dword:00000001
"FoFileAssociate"=dword:00000000
"StartMenuLogoff"=dword:00000000
"NoShellSearchButton"=dword:00000000
"NoLowDiskSpaceChecks"=dword:00000000
"HideClock"=dword:00000000
"NoRecentDocsMenu"=dword:00000000
"NoFolderOptions"=dword:00000000
"NoUserNameInStartMenu"=dword:00000000
"NoRecentDocsNetHood"=dword:00000000
"NoDrives"=hex:00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nbj"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Ahead\\Nero BackItUp\\nbj.exe\""
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeba
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzoa32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20050525-112840-132
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {77B20CE4-5CB5-409A-A45A-9A0B7719B33C} - C:\Programme-Sonstige\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
backup-20050525-112839-841
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {77B20CE4-5CB5-409A-A45A-9A0B7719B33C} - C:\Programme-Sonstige\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
backup-20050525-112452-535
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 06-10-31 17:30:56.54
C:\ComboFix.txt ... 06-10-31 17:30

+++++++++++++++++++


Die anderen 6 Logfiles von DatFind im Folgenden bzw im Anhang (1):

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 6445-C150

Verzeichnis von C:\DOKUME~1\Andreas\LOKALE~1\Temp

31.10.2006 17:22 16.384 Perflib_Perfdata_c48.dat
31.10.2006 17:22 16.384 Perflib_Perfdata_c40.dat
31.10.2006 17:21 16.384 Perflib_Perfdata_62c.dat
31.10.2006 17:21 16.384 Perflib_Perfdata_970.dat
31.10.2006 17:21 49.152 ~DFB1.tmp
04.10.2006 09:23 668 datFind.bat
6 Datei(en) 115.356 Bytes
0 Verzeichnis(se), 38.513.803.264 Bytes frei



Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 6445-C150

Verzeichnis von C:\WINDOWS\Downloaded Program Files

01.02.2006 00:12 65 desktop.ini
27.08.2005 13:30 5.065 swflash.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
4 Datei(en) 6.989 Bytes
0 Verzeichnis(se), 38.513.770.496 Bytes frei



Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 6445-C150

Verzeichnis von C:\WINDOWS

31.10.2006 17:21 10.806 JETSUITE.INI
31.10.2006 17:20 0 0.log
31.10.2006 17:20 1.337.041 WindowsUpdate.log
31.10.2006 17:19 2.048 bootstat.dat
31.10.2006 17:18 32.576 SchedLgU.Txt
31.10.2006 14:14 31.401 KB924191.log
31.10.2006 14:14 41.667 updspapi.log
31.10.2006 14:14 30.822 KB922819.log
31.10.2006 14:14 28.523 KB921883.log
31.10.2006 14:13 28.342 KB922616.log
31.10.2006 14:13 27.489 KB924496.log
31.10.2006 14:13 26.556 KB921398.log
31.10.2006 14:13 16.580 KB922582.log
31.10.2006 14:12 23.283 KB920683.log
31.10.2006 13:48 115.149 ntdtcsetup.log
31.10.2006 13:48 28.415 tabletoc.log
31.10.2006 13:48 1.393 imsins.log
31.10.2006 13:48 252.587 tsoc.log
31.10.2006 13:48 640.165 iis6.log
31.10.2006 13:48 191.129 comsetup.log
31.10.2006 13:48 30.336 ocmsn.log
31.10.2006 13:48 94.840 netfxocm.log
31.10.2006 13:48 271.871 ocgen.log
31.10.2006 13:48 27.394 msgsocm.log
31.10.2006 13:48 40.370 medctroc.Log
31.10.2006 13:48 535.768 FaxSetup.log
31.10.2006 13:48 175.590 msmqinst.log
31.10.2006 13:48 1.393 imsins.BAK
31.10.2006 13:48 16.468 KB923414.log
31.10.2006 13:48 16.153 KB920214.log
31.10.2006 13:47 15.500 KB920685.log
31.10.2006 13:46 14.174 KB920670.log
31.10.2006 13:46 16.044 KB920872.log
31.10.2006 13:46 987.454 setupapi.log
31.10.2006 13:46 14.515 KB919007.log
31.10.2006 13:46 12.045 KB923191.log
31.10.2006 13:46 13.969 KB917422.log
31.10.2006 13:45 13.033 KB925486.log
31.10.2006 12:24 73.846 wmsetup.log
31.10.2006 12:24 1.519 OEWABLog.txt
30.10.2006 19:01 116 NeroDigital.ini
25.10.2006 14:14 7.272 mozver.dat
16.10.2006 16:23 65 DateWiz.ini
16.10.2006 14:13 286.720 Setup1.exe
16.10.2006 14:13 73.216 ST6UNST.EXE
15.10.2006 17:03 1.034 PVAStrumento.ini
27.09.2006 17:17 54.156 QTFont.qfn
21.09.2006 20:50 419 wiadebug.log
21.09.2006 17:18 50 wiaservc.log
18.09.2006 12:49 19 schmaili3.gif
17.09.2006 10:54 1.409 QTFont.for
08.09.2006 13:07 37.027 atmoUn.exe
02.09.2006 21:54 0 nsreg.dat
29.08.2006 18:30 340 cdplayer.ini
28.08.2006 14:16 1.098.878 DPINST.LOG
28.08.2006 14:04 0 mngui.INI
27.08.2006 18:28 107 VobEdit.INI
27.08.2006 18:21 277 IfoEdit.INI
27.08.2006 16:42 918 cPVAS.INI
26.08.2006 02:27 19.510 KB912812.log
17.08.2006 22:52 316.640 WMSysPr9.prx
16.08.2006 12:31 14.791 KB918899.log
13.07.2006 01:47 11.833 KB917159.log
13.07.2006 01:47 12.344 KB914388.log
13.07.2006 01:47 10.329 KB916595.log
29.06.2006 20:01 14.564 KB911280.log
18.06.2006 16:46 63.540 spupdsvc.log
17.06.2006 22:48 10.302 KB917734.log
17.06.2006 22:48 1.922 avmcoins.log
17.06.2006 22:48 13.802 KB918439.log
17.06.2006 22:47 14.160 KB917344.log
17.06.2006 22:47 13.935 KB917953.log
17.06.2006 22:47 17.642 KB916281.log
17.06.2006 22:47 11.514 KB914389.log
01.06.2006 15:11 13.524 ie7beta2Uninst.log
01.06.2006 15:07 16.615 ie7beta2_main.log
29.05.2006 23:41 17.832 ie7beta2.log
29.05.2006 23:38 3.917 KB915865.log
29.05.2006 23:38 11.005 KB904942.log
15.05.2006 19:43 11.737 KB913580.log
26.04.2006 01:07 14.661 KB900485.log
17.04.2006 00:36 15.118 KB908531.log
17.04.2006 00:36 14.700 KB911562.log
17.04.2006 00:36 14.030 KB911567.log
12.04.2006 11:21 13.612 WGA.log
02.04.2006 22:56 40 Readiris.ini
02.04.2006 22:56 784 win.ini
02.04.2006 22:35 188.344 setupact.log
02.04.2006 22:35 0 setuperr.log
22.03.2006 00:27 0 Sti_Trace.log
17.03.2006 12:56 192 winamp.ini
11.03.2006 17:39 320 accessdll1.log
11.03.2006 17:39 248 accessdll.log
11.03.2006 17:04 105 avmsysnet.log
11.03.2006 17:03 1.542 avmadd32.log
08.03.2006 02:06 107.134 UninstallFirefox.exe
22.02.2006 01:56 784 win.001
22.02.2006 01:56 246 system.ini

edit (Sabina)


Das sind ja eine Masse Daten...

Inzwischen nochmals Danke....

Coromandel

+++++++++++++++


Nachtrag:

Hallo nochmal,

kann jetzt bestätigen, dass es der TR/Vundo.Gen Virus ist. Der sitzt bei mir als "geeba.dll" in C:/windows/system32 hartnäckigst und lässt sich weder löschen noch in die Quaranäne verschieben und dann löschen. AntiVir zeigt ihn immer wieder an, auch nach dem hochfahren. Habe in einem aktuellen Thread mit gleichem Problem gesehen, dass u.a. von Sabina Vundofix.exe empfohlen wurde. Findet er trotzdem nach jedem hochfahren....

Was kann ich tun??

DAnke für Euren Support.

Gruß Coromandel

Anhang: system32.txt
Dieser Beitrag wurde am 01.11.2006 um 19:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.11.2006, 20:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 coromandel

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeba
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzoa32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D7BB3CC-B4CA-49B6-8893-E02E645725D5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F18F04B0-9CF1-4b93-B004-77A288BEE28B}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8D7BB3CC-B4CA-49B6-8893-E02E645725D5}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F18F04B0-9CF1-4b93-B004-77A288BEE28B}

Files to delete:
C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\dmawgtdu.exe
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\cmtpbues.exe
C:\WINDOWS\system32\whwnhdci.exe
C:\WINDOWS\system32\mrgafrrn.exe
C:\WINDOWS\system32\pcaqyhgx.exe
C:\WINDOWS\system32\myjreitg.dll
C:\WINDOWS\system32\pjnfxbdq.exe
C:\WINDOWS\system32\jwbdshfj.exe
C:\WINDOWS\system32\kiisrmcw.exe
C:\WINDOWS\system32\nhwgmctl.exe
C:\WINDOWS\system32\btcsbdld.exe
C:\WINDOWS\system32\cpuqltgg.exe
C:\WINDOWS\system32\mcs.rma
C:\WINDOWS\system32\79E842
C:\WINDOWS\system32\qtbtgqkm.exe
C:\WINDOWS\system32\geeba.dll
C:\WINDOWS\system32\iifeffg.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html


---------------------------------------------------------------------

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\autoprnt.exe

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.11.2006 um 20:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.11.2006, 10:52
coromandel
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo Sabina,

Vundo funktionierte noch, aber dann habe ich mir mit dem Laden des Avenger den TR/Drop.Avenger.A.1 eingefangen (Antivir hat sofort gemeldet) und Avenger hat ca. 10 Fehlermeldungen produziert. Wenn ich dann runterfahre (was Avenger empfiehlt), dann wieder hoch und den Avenger wieder aufrufe, habe ich denselben Virus (sitzen alle in der system32/drivers) mit neuem Namen.

Die Leute, die diesen Schei... produzieren, gehören alle hinter Gitter - und zwar lange. Bin jetzt seit ca. 12 Std. dran und bekomme ihn nicht weg. Reguläre Arbeit bleibt liegen...


Habe dann den Avenger mal im abgesichrten Modus und gekappter DSL-Verbindung ausgeführt und es funktioniert. Zumindest teilweise. Viele der Vireneinträge wurde nicht gefunden. Nachfolgend das Log-File:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tbvqnlft

*******************

Script file located at: \??\C:\WINDOWS\system32\nybw^cmx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\abeeg.ini not found!
Deletion of file C:\WINDOWS\system32\abeeg.ini failed!

Could not process line:
C:\WINDOWS\system32\abeeg.ini
Status: 0xc0000034



File C:\WINDOWS\system32\dmawgtdu.exe not found!
Deletion of file C:\WINDOWS\system32\dmawgtdu.exe failed!

Could not process line:
C:\WINDOWS\system32\dmawgtdu.exe
Status: 0xc0000034



File C:\WINDOWS\system32\abeeg.bak1 not found!
Deletion of file C:\WINDOWS\system32\abeeg.bak1 failed!

Could not process line:
C:\WINDOWS\system32\abeeg.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\cmtpbues.exe not found!
Deletion of file C:\WINDOWS\system32\cmtpbues.exe failed!

Could not process line:
C:\WINDOWS\system32\cmtpbues.exe
Status: 0xc0000034



File C:\WINDOWS\system32\whwnhdci.exe not found!
Deletion of file C:\WINDOWS\system32\whwnhdci.exe failed!

Could not process line:
C:\WINDOWS\system32\whwnhdci.exe
Status: 0xc0000034



File C:\WINDOWS\system32\mrgafrrn.exe not found!
Deletion of file C:\WINDOWS\system32\mrgafrrn.exe failed!

Could not process line:
C:\WINDOWS\system32\mrgafrrn.exe
Status: 0xc0000034



File C:\WINDOWS\system32\pcaqyhgx.exe not found!
Deletion of file C:\WINDOWS\system32\pcaqyhgx.exe failed!

Could not process line:
C:\WINDOWS\system32\pcaqyhgx.exe
Status: 0xc0000034

File C:\WINDOWS\system32\myjreitg.dll deleted successfully.


File C:\WINDOWS\system32\pjnfxbdq.exe not found!
Deletion of file C:\WINDOWS\system32\pjnfxbdq.exe failed!

Could not process line:
C:\WINDOWS\system32\pjnfxbdq.exe
Status: 0xc0000034



File C:\WINDOWS\system32\jwbdshfj.exe not found!
Deletion of file C:\WINDOWS\system32\jwbdshfj.exe failed!

Could not process line:
C:\WINDOWS\system32\jwbdshfj.exe
Status: 0xc0000034



File C:\WINDOWS\system32\kiisrmcw.exe not found!
Deletion of file C:\WINDOWS\system32\kiisrmcw.exe failed!

Could not process line:
C:\WINDOWS\system32\kiisrmcw.exe
Status: 0xc0000034



File C:\WINDOWS\system32\nhwgmctl.exe not found!
Deletion of file C:\WINDOWS\system32\nhwgmctl.exe failed!

Could not process line:
C:\WINDOWS\system32\nhwgmctl.exe
Status: 0xc0000034



File C:\WINDOWS\system32\btcsbdld.exe not found!
Deletion of file C:\WINDOWS\system32\btcsbdld.exe failed!

Could not process line:
C:\WINDOWS\system32\btcsbdld.exe
Status: 0xc0000034



File C:\WINDOWS\system32\cpuqltgg.exe not found!
Deletion of file C:\WINDOWS\system32\cpuqltgg.exe failed!

Could not process line:
C:\WINDOWS\system32\cpuqltgg.exe
Status: 0xc0000034

File C:\WINDOWS\system32\mcs.rma deleted successfully.
File C:\WINDOWS\system32\79E842 deleted successfully.


File C:\WINDOWS\system32\qtbtgqkm.exe not found!
Deletion of file C:\WINDOWS\system32\qtbtgqkm.exe failed!

Could not process line:
C:\WINDOWS\system32\qtbtgqkm.exe
Status: 0xc0000034



File C:\WINDOWS\system32\geeba.dll not found!
Deletion of file C:\WINDOWS\system32\geeba.dll failed!

Could not process line:
C:\WINDOWS\system32\geeba.dll
Status: 0xc0000034



File C:\WINDOWS\system32\iifeffg.dll not found!
Deletion of file C:\WINDOWS\system32\iifeffg.dll failed!

Could not process line:
C:\WINDOWS\system32\iifeffg.dll
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeba deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzoa32 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D7BB3CC-B4CA-49B6-8893-E02E645725D5} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D7BB3CC-B4CA-49B6-8893-E02E645725D5} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F18F04B0-9CF1-4b93-B004-77A288BEE28B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8D7BB3CC-B4CA-49B6-8893-E02E645725D5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F18F04B0-9CF1-4b93-B004-77A288BEE28B} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



+++++++++++++++++++


SUPERAntiSpyware Scan Log
Generated 11/02/2006 at 12:13 PM

Application Version : 3.3.1020

Core Rules Database Version : 3119
Trace Rules Database Version: 1142

Scan type : Complete Scan
Total Scan Time : 00:21:26

Memory items scanned : 669
Memory threats detected : 0
Registry items scanned : 5398
Registry threats detected : 0
File items scanned : 20650
File threats detected : 4

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@as1.falkag[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@mediaplex[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@partners.webmasterplan[2].txt

Trojan.Downloader-VSAddIn
C:\PROGRAMME\VSADD-IN\VSADD-IN.DLL




+++++++++++++++++++


Complete scanning result of "autoprnt.exe", received in VirusTotal at 11.02.2006, 11:55:42 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.02.2006 no virus found
Authentium 4.93.8 11.02.2006 no virus found
Avast 4.7.892.0 11.02.2006 no virus found
AVG 386 11.02.2006 no virus found
BitDefender 7.2 11.01.2006 no virus found
CAT-QuickHeal 8.00 11.01.2006 no virus found
ClamAV devel-20060426 11.02.2006 no virus found
DrWeb 4.33 11.02.2006 no virus found
eTrust-InoculateIT 23.73.43 11.02.2006 no virus found
eTrust-Vet 30.3.3174 11.02.2006 no virus found
Ewido 4.0 11.02.2006 no virus found
Fortinet 2.82.0.0 11.02.2006 no virus found
F-Prot 3.16f 11.01.2006 no virus found
F-Prot4 4.2.1.29 11.02.2006 no virus found
Ikarus 0.2.65.0 11.02.2006 no virus found
Kaspersky 4.0.2.24 11.02.2006 no virus found
McAfee 4886 11.01.2006 no virus found
Microsoft 1.1609 11.02.2006 no virus found
NOD32v2 1.1849 11.02.2006 no virus found
Norman 5.80.02 11.01.2006 no virus found
Panda 9.0.0.4 11.01.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.111 11.02.2006 no virus found
UNA 1.83 11.01.2006 no virus found
VBA32 3.11.1 11.01.2006 no virus found
VirusBuster 4.3.15:9 11.02.2006 no virus found

Aditional Information
File size: 507392 bytes
MD5: 47314f8b7639e00b8007269b3caa9f05
SHA1: 13c4f279858615f93675e2852585583278a21984


+++++++++++++++++

Beim scannen ist gerade schon wieder ein Virus aufgetaucht:

TR/Dldr.Agent.ads im System Volume.
Das hört wohl nie auf...

Schon Vorab herzlichen Dank für Deine sehr geschätzte Hilfe.

Gruß
Coromandel
Dieser Beitrag wurde am 02.11.2006 um 12:19 Uhr von coromandel editiert.
Seitenanfang Seitenende
02.11.2006, 12:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 loesche das backup vom avenger unter c:\Avenger\backup.zip
dann:
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren - und sich ueber einen sauberen PC freuen ;)

________________

Antivirus mag den Avenger nicht ;) - ich werde dort mal anfragen muessen, was das soll ;)
Avenger den TR/Drop.Avenger.A.1

p.S: erledigt, habe dort mal angeklopft, mal sehen, was die antworten.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.11.2006 um 12:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.11.2006, 16:40
coromandel
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo SAbina,

habe alles so gemacht wie gesagt; ich hoffe, ich bleibe jetzt mal verschont. HAbe auf jeden FAll die Sicherheitsstufen schon mal hochgesetzt und werde die Cookies stringenter behandlen.

Vielen herzlichen Dank- bin jetzt wieder etwas erleichterter... Und am aufarbeiten.

Tolles Support, den ihr hier gebt.

Beste Grüße vom schönen Ammersee in BAyern

Coromandel

P.S. Vielleicht hast Du noch einen sinnvollen Link (es gibt ja soviele Tips sogenannter "Spezialisten" hier im Web) oder Verweis auf eine Seite, was man präventiv noch alles machen kann um solche zeitraubenden Turnübungen zu vermeiden....
Seitenanfang Seitenende
02.11.2006, 16:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 also Tipps habe ich folgende auf Lager: ;)

eingeschraenktes Benutzerkonto
http://virus-protect.org/administrator.html

als Alternativbrowser, neben dem IE - Firefox
http://virus-protect.org/firefox.html

sandboxie
http://virus-protect.org/artikel/tools/sandboxie.html

**
mit Bedacht surfen und gewisse Seiten und Software - meiden .

Gruss
aus Lissabon ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1