Home » Spyware & Browser Hijacker Support Forum » winxxx.tmp.exe | C:\Windows\Temp\.. » Themenansicht

winxxx.tmp.exe | C:\Windows\Temp\..

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.11.2006, 05:08
bugfisch
...neu hier

Beiträge: 8
#1 Hallo zusammen.

Ich habe ein schweres Problem, und zwar geht mir hier etwas schwer auf den Zeiger:

seit eben bekomme ich andauernd Trojanermeldungen auf meinen pc die aus dem Ordner "C:\Windows\Temp\.." kommen.
Die Trojaner heißen IMMER: "winxxx.tmp.exe" (wobei das xxx durch eine Zahl ersetzt wird).

Es ist mehr als nervig und lästig die andauernd in die Quarantäne zu schieben.

Ich will hoffen das jemand so nett ist und mir helfen kann ... sehr sehr gerne auch im icq 170648106

[aufgefallen ist mir noch das mein Internetexplorer extrem ´langsam ist und auch immer einer seite öffnet auf der ich irgend ein spykram laden kann]

danke schon einmal im voraus
Seitenanfang Seitenende
05.11.2006, 14:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 arbeite das ab und poste folgende logs
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2006, 14:33
bugfisch
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo, das Hijackthis file konnte ich nicht kopieren da sich bei mir das Notepad nicht öffnet, ich werde einen screenshot im anhang knallen.

Cleanup ist durchgeführt!

Combofix Logfile:

Administrator - 06-11-05 14:46:03,95 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-05 to 2006-11-05 ))))))))))))))))))))))))))))))))))


2006-11-05 01:57 603,912 ---hs---- C:\WINDOWS\system32\egjlm.ini2
2006-11-05 01:57 601,709 ---hs---- C:\WINDOWS\system32\egjlm.bak2
2006-11-04 16:17 692,276 ---hs---- C:\WINDOWS\system32\mljge.dll
2006-11-04 16:17 601,168 ---hs---- C:\WINDOWS\system32\egjlm.bak1
2006-11-04 16:17 60,436 --a------ C:\WINDOWS\system32\ejgncehg.dll
2006-11-04 16:17 110,612 --a------ C:\WINDOWS\system32\llplspdp.exe
2006-11-04 15:10 40,973 ---hs---- C:\WINDOWS\system32\byxvwut.dll
2006-11-04 15:10 15,872 --a------ C:\WINDOWS\system32\winuqw32.dll
2006-11-01 02:50 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2006-11-01 02:50 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2006-11-01 02:50 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2006-11-01 02:50 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2006-11-01 02:50 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2006-11-01 02:50 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2006-11-01 02:50 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2006-11-01 02:36 8,576 --a------ C:\WINDOWS\system32\drivers\hidgame.sys
2006-10-19 16:00 3,968 --a------ C:\WINDOWS\system32\drivers\avgclean.sys
2006-10-05 00:53 737,280 --a------ C:\WINDOWS\iun6002.exe
2006-10-05 00:52 18,432 -ra------ C:\WINDOWS\system32\drivers\WDM_Capture_220A.sys
2006-10-05 00:51 15,488 -ra------ C:\WINDOWS\system32\drivers\WDM_Loader_220A.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-05 14:38 -------- d-------- C:\Programme\CleanUp!
2006-11-05 04:19 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-11-05 04:19 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-05 02:22 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2006-11-05 01:25 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2006-11-04 16:17 -------- d-------- C:\Programme\VSAdd-in
2006-11-04 16:17 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SearchToolbarCorp
2006-11-04 14:54 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-04 14:40 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2006-11-03 22:33 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-11-02 14:22 816672 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2006-11-01 02:58 -------- d-------- C:\Programme\Windows Media Player
2006-10-19 16:00 4960 --a------ C:\WINDOWS\system32\drivers\avgtdi.sys
2006-10-19 16:00 4224 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-10-19 16:00 28416 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-10-05 00:54 -------- d-------- C:\Programme\AC3Filter
2006-10-02 18:58 24072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-09-13 16:32 -------- d-------- C:\Programme\Microsoft.NET
2006-09-13 16:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-10 12:58 -------- d---s---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2006-09-10 12:37 -------- d-------- C:\Programme\Logitech
2006-09-04 19:10 48640 --a------ C:\WINDOWS\system32\Suchspur.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-11 13:26 2321408 --a------ C:\WINDOWS\system32\TUKernel.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"ASUS Probe"="f:\\AsusProbe\\AsusProb.exe"
"Logitech Utility"="Logi_MwX.Exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NvCplDaemon"="\"RUNDLL32.EXE\" C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="\"nwiz.exe\" /install"
"NvMediaCenter"="\"RUNDLL32.EXE\" C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"AVG7_CC"="\"F:\\PROGRA~1\\AVGANT~1\\avgcc.exe\" /STARTUP"
"T-Online DSL-Manager"="\"C:\\Programme\\T-Online\\DSL-Manager\\TODslMgr.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,de,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,de,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"AVG7_Run"="F:\\PROGRA~1\\AVGANT~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"AVG7_Run"="F:\\PROGRA~1\\AVGANT~1\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoDrives"=hex:00,00,00,00
"NoSharedDocuments"=hex:00,00,00,00
"NoRecentDocsHistory"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^RC.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\Administrator\\Startmenü\\Programme\\Autostart\\RC.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\RC.exe.lnkStartup"
"location"="Startup"
"command"="F:\\PROGRA~1\\DVB-T\\RC.exe "
"item"="RC.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"F:\\Programme\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"F:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"DWMRCS"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljge
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuqw32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-11-05 14:46:33.06
C:\ComboFix.txt ... 06-11-05 14:46



Datfind Files:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 603C-B2C1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.11.2006 15:21 719.064 NpFv415.dll
18.07.2006 19:08 82.432 UWA6P_0001_N91M1807NetInstaller.exe
27.03.2006 12:00 5.019 swflash.inf
11.02.2006 12:50 65 desktop.ini

9 Datei(en) 1.394.464 Bytes
0 Verzeichnis(se), 2.564.165.632 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 603C-B2C1

Verzeichnis von C:\

05.11.2006 15:02 0 sys.txt
05.11.2006 15:02 702 down.txt
05.11.2006 15:02 110 tmp.txt
05.11.2006 15:01 9.903 system.txt
05.11.2006 15:01 288 systemtemp.txt
05.11.2006 15:01 103.379 system32.txt
05.11.2006 14:57 5.908 dirdat.txt
05.11.2006 14:52 28.999 vm404.log
05.11.2006 14:46 9.967 ComboFix.txt
05.11.2006 14:43 1.609.945.088 hiberfil.sys
05.11.2006 14:43 1.610.612.736 pagefile.sys
05.11.2006 02:53 389 boot.ini
31.10.2006 12:50 13.824 dvb.GRF
05.10.2006 17:23 8.192 dvb4.GRF
10.09.2006 12:54 2.300 TDSLCheck.txt
15.08.2006 22:17 30.054 anmeldebildchen.bmp

25 Datei(en) 3.233.485.543 Bytes
0 Verzeichnis(se), 2.565.357.568 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 603C-B2C1

Verzeichnis von C:\WINDOWS

05.11.2006 14:44 0 0.log
05.11.2006 14:44 1.060.534 WindowsUpdate.log
05.11.2006 14:44 159 wiadebug.log
05.11.2006 14:44 50 wiaservc.log
05.11.2006 14:43 2.048 bootstat.dat
05.11.2006 14:42 32.570 SchedLgU.Txt
05.11.2006 03:41 862 win.ini
05.11.2006 03:24 773.179 setupapi.log
05.11.2006 02:53 227 system.ini
04.11.2006 20:21 155 winamp.ini
04.11.2006 14:54 4.276 DirectX.log
03.11.2006 22:32 783 eReg.dat
01.11.2006 02:58 96.236 wmsetup.log
29.10.2006 20:56 347 cdplayer.ini
27.10.2006 14:36 34.283 MedCtrOC.log
27.10.2006 14:36 27.305 ehOCGen.log
27.10.2006 14:36 550.685 iis6.log
27.10.2006 14:36 1.943 imsins.log
27.10.2006 14:36 225.302 tsoc.log
27.10.2006 14:36 102.306 ntdtcsetup.log
27.10.2006 14:36 170.697 comsetup.log
27.10.2006 14:36 24.655 tabletoc.log
27.10.2006 14:36 26.789 ocmsn.log
27.10.2006 14:36 59.404 plusoc.log
27.10.2006 14:36 84.720 netfxocm.log
27.10.2006 14:36 24.386 msgsocm.log
27.10.2006 14:36 239.152 ocgen.log
27.10.2006 14:36 476.491 FaxSetup.log
27.10.2006 14:36 151.654 msmqinst.log
16.10.2006 20:56 152.064 snap.dat
15.10.2006 17:41 1.943 imsins.BAK
13.10.2006 10:40 3.686.454 ACD Wallpaper.bmp
12.10.2006 23:12 12.429 KB924191.log
12.10.2006 23:12 28.255 updspapi.log
12.10.2006 23:12 12.246 KB922819.log
12.10.2006 23:12 11.421 KB923414.log
12.10.2006 23:12 11.412 KB924496.log
12.10.2006 23:12 8.739 KB923191.log
11.10.2006 15:36 60.416 ALCFDRTM.VER
05.10.2006 00:52 737.280 iun6002.exe
26.09.2006 19:42 10.510 KB925486.log
12.09.2006 21:46 11.324 KB920685.log
12.09.2006 21:46 13.102 KB920872.log
12.09.2006 21:46 11.475 KB919007.log
12.09.2006 21:46 7.749 KB922582.log
10.09.2006 19:53 60 z.js
29.08.2006 16:42 86 KE.log
29.08.2006 16:42 215.731 setupact.log
09.08.2006 23:31 18.204 KB920214.log
09.08.2006 23:31 17.922 KB921883.log
09.08.2006 23:31 17.774 KB922616.log
09.08.2006 23:31 18.179 KB921398.log
09.08.2006 23:31 21.031 KB918899.log
09.08.2006 23:30 12.092 KB920670.log
09.08.2006 23:30 12.249 KB917422.log
09.08.2006 23:30 12.445 KB920683.log

195 Datei(en) 15.464.590 Bytes
0 Verzeichnis(se), 2.565.378.048 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 603C-B2C1

Verzeichnis von C:\WINDOWS\system32

05.11.2006 14:59 601.765 egjlm.ini2
05.11.2006 14:59 0 egjlm.tmp2
05.11.2006 14:52 601.709 egjlm.bak2
05.11.2006 14:48 40.836 perfc009.dat
05.11.2006 14:48 320.094 perfh007.dat
05.11.2006 14:48 314.508 perfh009.dat
05.11.2006 14:48 49.174 perfc007.dat
05.11.2006 14:48 732.342 PerfStringBackup.INI
05.11.2006 14:44 43.573 nvapps.xml
05.11.2006 01:57 143 mcrh.tmp
05.11.2006 01:57 602.306 egjlm.tmp
04.11.2006 23:07 2.206 wpa.dbl
04.11.2006 16:17 60.436 ejgncehg.dll
04.11.2006 16:17 110.612 llplspdp.exe
04.11.2006 16:17 601.168 egjlm.bak1
04.11.2006 16:17 601.168 egjlm.ini
04.11.2006 16:17 692.276 mljge.dll
04.11.2006 15:10 40.973 byxvwut.dll
04.11.2006 15:10 15.872 winuqw32.dll
01.11.2006 02:58 16.832 amcompat.tlb
01.11.2006 02:58 23.392 nscompat.tlb
01.11.2006 02:50 2.272 w95inf16.dll
01.11.2006 02:50 4.608 w95inf32.dll
15.10.2006 20:18 182.632 FNTCACHE.DAT
04.10.2006 21:03 9.639.336 MRT.exe
02.10.2006 18:58 24.072 uxtuneup.dll
13.09.2006 06:02 1.084.416 msxml3.dll
10.09.2006 12:26 2.640 DWRCS.INI
04.09.2006 19:10 48.640 Suchspur.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
20.08.2006 12:14 8.891 jupdate-1.5.0_08-b03.log
16.08.2006 12:58 100.352 6to4svc.dll
11.08.2006 13:26 2.321.408 TUKernel.exe

2119 Datei(en) 429.459.160 Bytes
0 Verzeichnis(se), 2.564.317.184 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 603C-B2C1

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

05.11.2006 14:49 173 jusched.log
1 Datei(en) 173 Bytes
0 Verzeichnis(se), 2.565.459.968 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 603C-B2C1

Verzeichnis von C:\WINDOWS\Temp

[hier war alles leer]



MEINE FEHLERBESCHREIUNG:


Gestern hatte ich einen Task im Taskmanager gefudnen der sonst nie da war und der mir unbekannt war. diesre hieß: "wmiprvse.exe". Ich habe die Datei gefunden und entfernt. Seitdem ist der Task auch nicht wieder aufgetaucht.
Aber zur gleichen Zeit hat sich imemr der "explorer.exe" geschloßen (tut er immer noch)!!!!



Außerdem generieren sich wie von Geisterhand imerm wieder mehrere Datein im Ordner "..\Windows\Temp\" .... Diese Dateien heißen Shematisch immer gleich: "winxxx.tmp.exe" (wobei das xxx durch eine Zahl ersetzt wird)

Mir ist außerdem aufgefallen, dass mein Internetexplorer extrem lahm geworden ist seitdem. Und es öffnet sich schonmal öfters nun eine Seite wenn ich auf einen normalen link klicke, auf der ich Antispyware runterladen kann. Wenn ich diese Seite schließe leitet er mich weiter ... wenn ich diese Seite dann schließe schlißet er auch die Seite auf die ich eigentlich gehen wollte !!!

HIJACKTHIS IST IM ANHANG ALS SCREENSHOT !!!!!!

ICH HOFFE DAS ES NUN REICHT UND DAS MIR JEMAND HELFEN KANN ICH WÄRE MEHR ALS DANKBAR!

Anhang: hijackthis.JPG
Dieser Beitrag wurde am 05.11.2006 um 18:10 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.11.2006, 18:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 bugfisch

««
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljge
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuqw32
HKLM\SOFTWARE\Microsoft\MSSMGR

Files to delete:
C:\WINDOWS\Downloaded Program Files\UWA6P_0001_N91M1807NetInstaller.exe
C:\WINDOWS\system32\Suchspur.dll
C:\WINDOWS\system32\egjlm.ini2
C:\WINDOWS\system32\egjlm.tmp2
C:\WINDOWS\system32\egjlm.bak2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\egjlm.tmp
C:\WINDOWS\system32\ejgncehg.dll
C:\WINDOWS\system32\llplspdp.exe
C:\WINDOWS\system32\egjlm.bak1
C:\WINDOWS\system32\egjlm.ini
C:\WINDOWS\system32\mljge.dll
C:\WINDOWS\system32\byxvwut.dll
C:\WINDOWS\system32\winuqw32.dll

Folders to delete:
C:\Programme\VSAdd-in
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SearchToolbarCorp
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne - superantispyware - poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

________________________________________________________________

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2006, 19:34
bugfisch
...neu hier

Themenstarter

Beiträge: 8
#5 Das hier ist der Scanreport von superantispyware:


SUPERAntiSpyware Scan Log
Generated 11/05/2006 at 07:25 PM

Application Version : 3.3.1020

Core Rules Database Version : 3120
Trace Rules Database Version: 1142

Scan type : Complete Scan
Total Scan Time : 00:18:27

Memory items scanned : 403
Memory Thread detected : 0
Registry items scanned : 4765
Registry Thread detected : 67
File items scanned : 21262
File Thread detected : 22

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee}
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}\InprocServer32
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}\InprocServer32#ThreadingModel
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}\ProgID
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}\Programmable
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}\TypeLib
HKCR\CLSID\{C815ACE8-3DBF-4FFD-8231-AB1D21E8B7EE}\VersionIndependentProgID
C:\WINDOWS\SHGINAS.DLL
HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}
HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}\InprocServer32
HKCR\CLSID\{F18F04B0-9CF1-4B93-B004-77A288BEE28B}\InprocServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\CAPESNPNS.DLL

Adware.MWSearch Variant
HKLM\Software\Classes\CLSID\{f65b197f-8260-4d52-909a-f70118e646eb}
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}\InprocServer32
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}\InprocServer32#ThreadingModel
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}\ProgID
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}\Programmable
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}\TypeLib
HKCR\CLSID\{F65B197F-8260-4D52-909A-F70118E646EB}\VersionIndependentProgID
C:\WINDOWS\SYSTEM32\IASADA.DLL

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@winantivirus[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2006[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stats1.reliablestats[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2006[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@de.winantivirus[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.winantivirus[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@indexstats[2].txt

Adware.OnWebMedia
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}#AppID
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\InprocServer32
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\InprocServer32#ThreadingModel
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\ProgID
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\Programmable
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\TypeLib
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\VersionIndependentProgID

Adware.ZToolbar
C:\WINDOWS\azesearch.bmp
C:\WINDOWS\system32\azebar.xml
C:\WINDOWS\Downloaded Program Files\azesearch.inf
HKLM\Software\AZESearchCo
HKLM\Software\AZESearchCo\AZESearch
HKLM\Software\AZESearchCo\AZESearch#GUID
HKLM\Software\AZESearchCo\AZESearch#DateTimeHigh
HKLM\Software\AZESearchCo\AZESearch#DateTimeLow
HKLM\Software\AZESearchCo\AZESearch#xml_file
HKLM\Software\AZESearchCo\AZESearch#UPDATE_EVERY
HKLM\Software\AZESearchCo\AZESearch#JS2InsertURL
HKLM\Software\LoaderCo
HKLM\Software\LoaderCo\Loader
HKLM\Software\LoaderCo\Loader#DateTimeHigh
HKLM\Software\LoaderCo\Loader#DateTimeLow
HKCR\AddressBar.Loader
HKCR\AddressBar.Loader\CLSID
HKCR\AddressBar.Loader\CurVer
HKCR\AddressBar.Loader.1
HKCR\AddressBar.Loader.1\CLSID
HKCR\TypeLib\{DEA43CE3-D57B-45F6-A4D1-110E652CED11}
HKCR\TypeLib\{DEA43CE3-D57B-45F6-A4D1-110E652CED11}\1.0
HKCR\TypeLib\{DEA43CE3-D57B-45F6-A4D1-110E652CED11}\1.0\0
HKCR\TypeLib\{DEA43CE3-D57B-45F6-A4D1-110E652CED11}\1.0\0\win32
HKCR\TypeLib\{DEA43CE3-D57B-45F6-A4D1-110E652CED11}\1.0\FLAGS
HKCR\TypeLib\{DEA43CE3-D57B-45F6-A4D1-110E652CED11}\1.0\HELPDIR
HKCR\Interface\{38252777-2500-456E-8B3D-A55850306DA2}
HKCR\Interface\{38252777-2500-456E-8B3D-A55850306DA2}\ProxyStubClsid
HKCR\Interface\{38252777-2500-456E-8B3D-A55850306DA2}\ProxyStubClsid32
HKCR\Interface\{38252777-2500-456E-8B3D-A55850306DA2}\TypeLib
HKCR\Interface\{38252777-2500-456E-8B3D-A55850306DA2}\TypeLib#Version
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}#SystemComponent
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}#Installer
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\Contains
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\DownloadInformation
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\DownloadInformation#CODEBASE
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\DownloadInformation#INF
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\InstalledVersion
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\InstalledVersion#LastModified
C:\WINDOWS\SYSTEM32\AZESEARCH4.OCX

Adware.VSToolbar
HKU\S-1-5-21-2000478354-412668190-839522115-500\Software\Search Toolbar Corp

Trojan.Downloader-PATDUM
C:\SYSTEM VOLUME INFORMATION\_RESTORE{662B332F-FA66-4AD1-B86E-A5CED958575B}\RP296\A0063302.DLL
C:\VUNDOFIX BACKUPS\MLJGE.DLL.BAD

Trojan.Virtumonde
C:\SYSTEM VOLUME INFORMATION\_RESTORE{662B332F-FA66-4AD1-B86E-A5CED958575B}\RP296\A0063325.DLL

Trojan.Downloader-VSAddIn
C:\SYSTEM VOLUME INFORMATION\_RESTORE{662B332F-FA66-4AD1-B86E-A5CED958575B}\RP296\A0063326.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{662B332F-FA66-4AD1-B86E-A5CED958575B}\RP296\A0063328.DLL

Browser Hijacker.Liporn
C:\WINDOWS\FORM.JS

Trojan.TaskDir
C:\WINDOWS\SYSTEM32\ZLBW.DLL





HIJACK THIS:

Logfile of HijackThis v1.99.1
Scan saved at 19:37:48, on 05.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\AVGANT~1\avgamsvr.exe
F:\PROGRA~1\AVGANT~1\avgupsvc.exe
F:\PROGRA~1\AVGANT~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
F:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
F:\AsusProbe\AsusProb.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
F:\PROGRA~1\AVGANT~1\avgcc.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
F:\Programme\Logitech_Keyboard\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
F:\Programme\Miranda IM\miranda32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.l-taun.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ftp.maxdata.de/t_index.asp?info=/info/Belinea_Treiber_Driver
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explodierer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] f:\AsusProbe\AsusProb.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] "F:\PROGRA~1\AVGANT~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech_Keyboard\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - F:\Programme\AntiSpy\PopupBlocker\PopupBlocker.dll (file missing)
O9 - Extra 'Tools' menuitem: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - F:\Programme\AntiSpy\PopupBlocker\PopupBlocker.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\AVGANT~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\AVGANT~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\AVGANT~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUP\WinStylerThemeSvc.exe
O23 - Service: WMI-Leistungsadapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)




bitte um antwort ... bist nett danke schonmal für deine hilfe bis hierhin
Dieser Beitrag wurde am 05.11.2006 um 19:38 Uhr von bugfisch editiert.
Seitenanfang Seitenende
05.11.2006, 22:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««

C:\Windows\z.js - loeschen

________________________________________________________

1.
poste noch mal die 6 logs von datfindbat

2.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2006, 17:03
bugfisch
...neu hier

Themenstarter

Beiträge: 8
#7 hey, danke hat schon so geklappt ... alles is clean ... wenn ich noch einmal was habe weiß ich ja an wen ich mich wenden kann ... kann man dir irgendwas schicken?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1