irdvxc.exe verursacht enorme Probleme

#46 Vielen, vielen Dank.

...und...Gute Nacht. :-)

#47 Komalainen

««
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste den report

««
Arbeite nun bitte zunächst diese Anleitung genau ab:
Haxfix Haxdoor Removal
HaxFix: http://users.telenet.be/marcvn/tools/haxfix.exe

Wie verwendet man das HaxFix:
Mach einen Doppelklick auf die haxfix.exe um das Programm zu installieren.
(Man verwendet normalerweise diesen Pfad: C:\Programme\haxfix)
Setze ein Häkchen bei "Create a desktop icon".
Klicke auf "Next".
Wenn die Installation beendet ist, vergewissere dich, dass auch das Häkchen bei "Launch haxfix" gesetzt ist.
Klicke auf "Finish".

Ein rotes "dos window" (DOS BOX) wird sich nun mit folgenden Optionen öffnen:
1. Make logfile
2. Run auto fix
3. Run manual fix
E. Exit Haxfix

Schliesse alle anderen Anwendungen und Fensterchen, da der nächste Schritt ein Neuaufstarten des Rechners veranlassen wird.
Wähle die Option "2. Run auto fix" indem du die 2 eingibst, drücke dann auf ENTER.
Wenn eine Infektion gefunden wird, wirst du einen Bericht erhalten, um alle anderen offenen Fensterchen zu schliessen.
Schliesse dann alle offenen Fensterchen, mit Ausnahme des roten Dos Fensterchens (DOS BOX) vom Goldunfix und drücke auf ENTER.
Der Rechner wird neu aufgestartet.
Nach dem Neuaufstarten wird das Logfile geöffnet (c:\goldunlog.txt).

Andere Optionen des HaxFix:
Option 1 erstellt ein Logfile.

Eine weitere Möglichkeit das HaxFix zu starten: öffne den Ordner Programme\HaxFix und mache einen Doppelklick auf die fix.bat
(oder einen Doppelklick auf das fix.bat Desktop Icon). Poste bitte den c:\goldunlog.txt

___________________________________________________________________________

««
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\scsiusr4

Files to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rltwvknv.exe
C:\new.exe
C:\WINDOWS\system32\scsipsrvc.sys
C:\WINDOWS\system32\scsiusr4.dll
C:\WINDOWS\system32\ptesaaaa.exe
C:\WINDOWS\system32\ddwpafip.exe
C:\WINDOWS\system32\gbtaaaaa.exe
C:\WINDOWS\system32\phccaaaa.exe
C:\WINDOWS\system32\deiaaaaa.exe
C:\WINDOWS\system32\abctaaaa.exe
C:\WINDOWS\system32\sntjwaaa.exe
C:\WINDOWS\system32\vsvcaaaa.exe
C:\WINDOWS\system32\ddvaaaaa.exe
C:\WINDOWS\system32\datfaaaa.exe
C:\WINDOWS\system32\dotekooi.exe
C:\WINDOWS\system32\goshovoh.exe
C:\WINDOWS\system32\mmsdaaaa.exe
C:\WINDOWS\system32\dgrxyxqh.exe
C:\WINDOWS\system32\skjswaaa.exe
C:\WINDOWS\system32\ksl48.bin
C:\WINDOWS\system32\pwgcgafa.exe
C:\WINDOWS\system32\giynaaaa.exe
C:\WINDOWS\system32\pnhtoaaa.exe
C:\WINDOWS\system32\vpyysaaa.exe
C:\WINDOWS\system32\desoaaaa.exe
C:\WINDOWS\system32\dnhexpei.exe
C:\WINDOWS\system32\dgnaaaaa.exe
C:\WINDOWS\system32\dlpiwqrl.exe
C:\WINDOWS\system32\sonngpsd.exe
C:\WINDOWS\system32\gwhiyrri.exe
C:\WINDOWS\system32\vnljjwan.exe
C:\WINDOWS\system32\mitijlfh.exe
C:\WINDOWS\system32\mngycytm.exe
C:\WINDOWS\system32\adbjpaaa.exe
C:\WINDOWS\system32\puwooaaa.exe
C:\WINDOWS\system32\dvsymfto.exe
C:\WINDOWS\system32\pinujmtm.exe
C:\WINDOWS\system32\vyvyyaaa.exe
C:\WINDOWS\system32\gpraaaaa.exe
C:\WINDOWS\system32\vuolenit.exe
C:\WINDOWS\system32\setup_64844.exe
C:\WINDOWS\system32\dwgiaaaa.exe
C:\WINDOWS\system32\saskbaaa.exe
C:\WINDOWS\system32\srioaaaa.exe
C:\WINDOWS\system32\jutpdgou.exe
C:\WINDOWS\system32\vwmgcfhi.exe
C:\WINDOWS\system32\jjixbaaa.exe
C:\WINDOWS\system32\jbyitaaa.exe
C:\WINDOWS\system32\deuaiaaa.exe
C:\WINDOWS\system32\spboaaaa.exe
C:\WINDOWS\system32\dahaowuw.exe
C:\WINDOWS\system32\peqwaaaa.exe
C:\WINDOWS\system32\jkxlfohn.exe
C:\WINDOWS\system32\pebqkaaa.exe
C:\WINDOWS\system32\jkjbaaaa.exe
C:\WINDOWS\system32\aemhaaaa.exe
C:\WINDOWS\system32\tick48.bin
C:\WINDOWS\system32\aqmhaaaa.exe
C:\WINDOWS\system32\pmwibrso.exe
C:\WINDOWS\system32\jsbfwkkt.exe
C:\WINDOWS\system32\vdnweaaa.exe
C:\WINDOWS\system32\amkaaaaa.exe
C:\WINDOWS\system32\srcvvvmm.exe
C:\WINDOWS\system32\atraaaaa.exe
C:\WINDOWS\system32\mbifaaaa.exe
C:\WINDOWS\system32\gkgqfaaa.exe
C:\WINDOWS\system32\pupciaaa.exe
C:\WINDOWS\system32\jkmeaaaa.exe
C:\WINDOWS\system32\gptowiib.exe
C:\WINDOWS\system32\gpyaaaaa.exe
C:\WINDOWS\system32\dnhgiaaa.exe
C:\WINDOWS\system32\gpikkcvn.exe
C:\WINDOWS\system32\slxaoowc.exe
C:\WINDOWS\system32\pempakrs.exe
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\irdvxc.exe
C:\WINDOWS\system32\spjcaaaa.exe
C:\WINDOWS\system32\jwuiipxm.exe
C:\WINDOWS\system32\pqwjwbau.exe
C:\WINDOWS\system32\jwwvaaaa.exe
C:\WINDOWS\system32\gxblrmlf.exe
C:\WINDOWS\system32\mxjfaaaa.exe
C:\WINDOWS\system32\dnehrlhl.exe
C:\WINDOWS\system32\peqoaaaa.exe
C:\WINDOWS\system32\vuhvypfc.exe
C:\WINDOWS\system32\sdpqaaaa.exe
C:\WINDOWS\system32\vummpaaa.exe
C:\WINDOWS\system32\aerackhe.exe
C:\WINDOWS\system32\aekjhaaa.exe
C:\WINDOWS\system32\pebfvads.exe
C:\WINDOWS\system32\dnooxvde.exe
C:\WINDOWS\system32\gpuaaaaa.exe
C:\WINDOWS\system32\sdpbrrvr.exe
C:\WINDOWS\system32\vucataaa.exe
C:\WINDOWS\system32\mxblobxe.exe
C:\WINDOWS\system32\aeeqgaaa.exe
C:\WINDOWS\system32\mxwhpaaa.exe
C:\WINDOWS\system32\aejaxqwg.exe
C:\WINDOWS\system32\aeygoaaa.exe
C:\WINDOWS\system32\aexclfge.exe
C:\WINDOWS\system32\pepaaaaa.exe
C:\WINDOWS\system32\pextohgr.exe
C:\WINDOWS\system32\vutvpaaa.exe
C:\WINDOWS\system32\aeqovdsp.exe
C:\WINDOWS\system32\pefobaaa.exe
C:\WINDOWS\system32\stmyaaaa.exe
C:\WINDOWS\system32\deekaaaa.exe
C:\WINDOWS\system32\aqxdaaaa.exe
C:\WINDOWS\system32\sppmcijv.exe
C:\WINDOWS\system32\spjkcrnt.exe
C:\WINDOWS\system32\gfusxbbh.exe
C:\WINDOWS\system32\vgveoaaa.exe
C:\WINDOWS\system32\vcmmyaaa.exe
C:\WINDOWS\system32\sgihbijp.exe
C:\WINDOWS\system32\pyefaaaa.exe
C:\WINDOWS\system32\drvqaaaa.exe
C:\WINDOWS\system32\vuaaaaaa.exe
C:\WINDOWS\system32\aeoctpva.exe
C:\WINDOWS\system32\sdvaaaaa.exe
C:\WINDOWS\system32\jknvcaaa.exe
C:\WINDOWS\system32\ayjbaaaa.exe
C:\WINDOWS\system32\stolbqcq.exe
C:\WINDOWS\system32\degynuyb.exe
C:\WINDOWS\system32\pqujbipg.exe
C:\WINDOWS\system32\vhtabaft.exe
C:\WINDOWS\system32\mfophaaa.exe
C:\WINDOWS\system32\jjntmsbb.exe
C:\WINDOWS\system32\stdbdevo.exe
C:\WINDOWS\system32\dvpoaaaa.exe
C:\WINDOWS\system32\piqenivf.exe
C:\WINDOWS\system32\jkqvaaaa.exe
C:\WINDOWS\system32\sdeuchwu.exe
C:\WINDOWS\system32\jkfaaaaa.exe
C:\WINDOWS\system32\gpvwowku.exe
C:\WINDOWS\system32\aejsaaaa.exe
C:\WINDOWS\system32\gpbaaaaa.exe
C:\WINDOWS\system32\dnkthmpm.exe
C:\WINDOWS\system32\pesuyaaa.exe
C:\WINDOWS\system32\aeuqqaaa.exe
C:\WINDOWS\system32\aegaaaaa.exe
C:\WINDOWS\system32\dnnwasoh.exe
C:\WINDOWS\system32\jkushdle.exe
C:\WINDOWS\system32\gpiywvfw.exe
C:\WINDOWS\system32\jkytgwlc.exe
C:\WINDOWS\system32\aerkmwgf.exe
C:\WINDOWS\system32\aqhcaaaa.exe
C:\WINDOWS\system32\~GLH001b.TMP.vir
C:\WINDOWS\system32\actskn45.ocx
C:\WINDOWS\1.exe

Folders to delete:
C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\iMesh

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: (no name) - {AB31942A-18BC-466D-ABE2-EDE4186DDB21} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC4D76F-3F2E-4DD0-AEF9-DEC65E45CF52}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{A41B2040-EDC6-4ECE-9293-2C5DD76EBF67}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.84
O17 - HKLM\System\CS1\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.84
O17 - HKLM\System\CS2\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84

PC neustarten

««
bevor du wieder online gehst:
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip

Press 'Restore Original Hosts' and press 'OK'
Exit Program.
___________________________________________________________

»»
poste noch mal die 6 logs von datfindbat + das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Du bist ja echt der Wahnsinn (positiv) !

Also jetzt erstmal die Reports und dann mach ich das mit dem avenger.

Blacklight:

12/31/06 15:57:54 [Info]: BlackLight Engine 1.0.55 initialized
12/31/06 15:57:54 [Info]: OS: 5.1 build 2600 (Service Pack 1)
12/31/06 15:57:54 [Note]: 7019 4
12/31/06 15:57:54 [Note]: 7005 0
12/31/06 15:58:15 [Note]: 7006 0
12/31/06 15:58:15 [Note]: 7011 1024
12/31/06 15:58:15 [Note]: 7026 0
12/31/06 15:58:16 [Note]: 7026 0
12/31/06 15:58:19 [Note]: FSRAW library version 1.7.1021
12/31/06 16:02:14 [Note]: 7007 0

*********************************

haxfix:

HAXFIX logfile - by Marckie

version 4.32
31.12.2006 16:05:30,64

--- Auto Haxdoorfix ---


searching for files:

no infections found


--- Goldunfix ---


searching for files:

searching for SSODLkeys:
no SSODLkeys found

searching for notifykeys:
scsiusr4

searching for services:
scsipsrvc


deleting service scsipsrvc
[SWSC] DeleteService SUCCESS


.....rebooting the computer.....


searching for ssodlkeys

not needed


searching for notifykeys

notifykey scsiusr4 not found


searching for services

service scsipsrvc not found


searching for safeboot services

not needed


searching for files

scsiusr4.dll exists
deleting scsiusr4.dll
scsiusr4.dll has been deleted

scsipsrvc.sys exists
deleting scsipsrvc.sys
scsipsrvc.sys has been deleted


checking for other files

ksl48.bin exists
deleting ksl48.bin
ksl48.bin has been deleted


checking for a3d files

no a3d files found


Finished

*************************************

Fixware:

Windows Script Host access is disabled on this machine.
Post this in the forum please.

*************************************

!!! so, irgendwas ist jetzt schief gelaufen.
Hab Deine Anweisungen befolgt. Nur das Hijackthis-log hab ich separat gemacht, weil ich vorher aus Versehen nur einen solo-Scan gemacht habe.

Der Hoster will nicht. Da kommt die Fehlermeldung "Error: Grid index out of range"

Als ich dann die Netzwerkverbindung geändert habe bin ich nicht mehr online gekommen.
Hab mir jetzt nur mit der Systemwiederherstellung zu helfen gewusst, damit ich das hier posten kann.

Was soll ich tun ?

Das Hijackthis-log hänge ich an

#49 Systemwiederherstellung ??? nun, dann sind alle Viren wieder drauf...

arbeite also das avenger script ab und poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#50

Zitat

Sabina postete
Systemwiederherstellung ??? nun, dann sind alle Viren wieder drauf...

Die kann ich ja auch wieder rückgängig machen...
Nur komm ich dann aus irgendeinen Grund nicht online ?
O.k., ich versuchs nochmal.

**********************************

O.k., hab den Avenger nochmals drüber laufen lassen:

hier die Logs (system32 als Anhang, weil das längste):
P.S.: ich glaub wir machen dann mal Schluss für heute, hast mir eh schon viel geholfen. Ich schau dann morgen Mittag mal wieder rein.

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:55:54, on 31.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\TuneUpUtilities2006\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\DOKUME~1\Florian\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AB31942A-18BC-466D-ABE2-EDE4186DDB21} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [xmhjxdaf] C:\ukamvkrm.bat
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUpUtilities2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC4D76F-3F2E-4DD0-AEF9-DEC65E45CF52}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{A41B2040-EDC6-4ECE-9293-2C5DD76EBF67}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.84
O17 - HKLM\System\CS1\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.84
O17 - HKLM\System\CS2\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.84
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

***************************

tmp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\WINDOWS\Temp

****************************

down:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

*****************************

sys:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\

31.12.2006 17:58 0 sys.txt
31.12.2006 17:58 137 down.txt
31.12.2006 17:58 117 tmp.txt
31.12.2006 17:58 6.571 system.txt
31.12.2006 17:58 760 systemtemp.txt
31.12.2006 17:58 103.456 system32.txt
31.12.2006 17:51 536.399.872 hiberfil.sys
31.12.2006 17:51 805.306.368 pagefile.sys
31.12.2006 17:50 1.080 ukamvkrm.bat
31.12.2006 17:50 126.976 zip.exe
31.12.2006 17:50 126 avexport.bat
31.12.2006 16:07 1.024 haxfix.txt
31.12.2006 16:07 12 checkfil.txt
31.12.2006 16:05 485 haxoth.txt
31.12.2006 16:05 30 haxdel.txt
31.12.2006 16:05 12 haxserv.txt
31.12.2006 16:05 11 golserv.txt
31.12.2006 16:05 10 goldnot.txt
13.09.2004 22:57 0 IO.SYS
13.09.2004 22:57 0 MSDOS.SYS
13.09.2004 22:57 0 CONFIG.SYS
13.09.2004 22:57 0 AUTOEXEC.BAT
13.09.2004 22:52 194 boot.ini
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
26 Datei(en) 1.342.235.069 Bytes
0 Verzeichnis(se), 3.501.608.960 Bytes frei

************************************

system:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\WINDOWS

31.12.2006 17:52 0 0.log
31.12.2006 17:52 159 wiadebug.log
31.12.2006 17:52 50 wiaservc.log
31.12.2006 17:51 2.048 bootstat.dat
31.12.2006 17:50 32.560 SchedLgU.Txt
22.12.2006 17:43 9.095 setupapi.log
10.12.2006 10:46 30.003 userinit.exe
03.12.2006 15:38 4.522 cdPlayer.ini
28.11.2006 21:40 297 Clony2.ini
25.09.2006 20:40 660 win.ini
25.09.2006 20:40 227 system.ini
25.09.2006 20:03 193.943 iis6.log
25.09.2006 20:03 36.846 ntdtcsetup.log
25.09.2006 20:03 8.833 tabletoc.log
25.09.2006 20:03 75.000 tsoc.log
25.09.2006 20:03 6.434 ocmsn.log
25.09.2006 20:03 27.628 netfxocm.log
25.09.2006 20:03 8.182 msgsocm.log
25.09.2006 20:03 148.906 FaxSetup.log
25.09.2006 20:02 50.822 msmqinst.log
14.09.2006 16:17 47.906 DPINST.LOG
10.08.2006 21:05 3.001 dasetup.log
28.06.2006 18:57 75 lbbho.ini
26.06.2006 16:11 4.639 rdt.ini
10.06.2006 17:55 19 SoundConverter.INI
22.05.2006 14:17 4.674 Windows Update.log
10.02.2006 17:43 35 Ulead32.INI
05.02.2006 21:30 6.208 cddabase.ini


*******************************

systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\DOKUME~1\Florian\LOKALE~1\Temp

31.12.2006 17:55 4.759 hijackthis.log
31.12.2006 17:52 16.384 Perflib_Perfdata_678.dat
30.12.2006 22:22 4.592 SIntfIcn.ani
30.12.2006 22:22 22.068 SIntfNT.dll
30.12.2006 22:22 17.324 SIntf32.dll
30.12.2006 22:22 12.305 SIntf16.dll
30.12.2006 22:22 40.448 CmdLineExt03.dll
04.10.2006 09:23 668 datFind.bat
25.02.2006 23:28 130.048 avenger.exe
16.02.2005 11:06 218.112 HijackThis.exe
10 Datei(en) 466.708 Bytes
0 Verzeichnis(se), 3.501.608.960 Bytes frei

Verzeichnis von C:\WINDOWS\system32

31.12.2006 17:52 3.725 nvapps.xml
31.12.2006 16:50 2.206 wpa.dbl
31.12.2006 16:21 10.560 awurhggl.txt
23.12.2006 23:57 305.318 perfh009.dat
23.12.2006 23:57 37.760 perfc009.dat
23.12.2006 23:57 45.672 perfc007.dat
23.12.2006 23:57 309.810 perfh007.dat
23.12.2006 23:57 705.468 PerfStringBackup.INI
23.10.2006 20:50 189 info.txt
28.09.2006 16:45 54.139 vsconfig.xml
25.09.2006 20:11 4.212 zllictbl.dat
07.09.2006 12:54 57.384 avsda.dll
23.08.2006 22:38 392.824 vsdatant.sys
23.08.2006 22:38 71.672 zlcommdb.dll
23.08.2006 22:38 83.960 zlcomm.dll
23.08.2006 22:38 440.312 vsutil.dll
23.08.2006 22:38 59.384 vswmi.dll
23.08.2006 22:38 100.344 vsxml.dll
23.08.2006 22:38 268.280 vspubapi.dll
23.08.2006 22:38 104.440 vsmonapi.dll
23.08.2006 22:38 157.688 vsinit.dll
23.08.2006 22:37 83.960 vsdata.dll
04.07.2006 16:03 84.480 mfseaaaa.exe
04.07.2006 13:26 704.000 DAAPI.dll
04.07.2006 13:25 131.072 NclAPI.dll
04.07.2006 13:25 245.760 VersitConverter.dll
12.06.2006 12:55 61.440 NclTools.dll
05.06.2006 13:04 242.688 ConnAPI.dll
29.05.2006 07:26 30.720 nmwcdcocls.dll
29.05.2006 07:26 50.688 nmwcdcls.dll
29.05.2006 07:26 4.608 nmwcdlog.dll
18.03.2006 13:32 41 MSCANDC.INI
23.02.2006 10:22 1.047.552 mfc71u.dll
07.12.2005 11:31 202.752 CddbCdda.dll
11.10.2005 20:46 598.016 CDDBControlSony.dll
08.09.2005 09:22 765.952 CDDBUISony.dll
08.09.2005 09:22 98.304 CddbLangDESony.dll
08.09.2005 09:21 73.728 CddbLinkSony.dll
08.09.2005 09:09 565.248 CddbMusicIDSony.dll
21.08.2005 16:41 0 TFTP1756
12.08.2005 16:24 164.320 FNTCACHE.DAT
03.08.2005 11:00 61.440 pxhpinst.exe
22.07.2005 11:31 200.704 MSM21w.dll
23.06.2005 09:01 430.080 pxdrv.dll
22.06.2005 09:00 28.672 vxblock.dll
14.06.2005 09:00 108.544 pxcpyi64.exe
14.06.2005 09:00 56.832 pxcpya64.exe
06.06.2005 18:12 15.360 TFTP3404
05.05.2005 21:53 1.146.880 pxsfs.dll
05.05.2005 21:50 151.552 pxwma.dll
05.05.2005 21:50 372.736 px.dll
05.05.2005 21:49 172.032 pxmas.dll
05.05.2005 21:48 339.968 pxwave.dll
25.04.2005 10:03 56.320 pxinsa64.exe
25.04.2005 10:03 109.568 pxinsi64.exe
02.04.2005 18:33 0 TFTP3208
07.03.2005 13:54 122.880 MSM1FW.dll
02.03.2005 09:17 30.557 MSMWUD17.dll
18.02.2005 17:31 23.392 nscompat.tlb
18.02.2005 17:31 16.832 amcompat.tlb
17.02.2005 15:00 184.320 MSM20w.dll

****************************

so und nun wünsch ich Dir einen guten Rutsch ins neue Jahr und vielen, vielen Dank für Deine Geduld.

Gruß Flo

#51 »»
deaktiviere SpybotSD TeaTimer

»»
avenger

Zitat

Files to delete:
C:\WINDOWS\system32\mfseaaaa.exe
C:\WINDOWS\system32\TFTP1756
C:\WINDOWS\system32\TFTP3404
C:\WINDOWS\system32\TFTP3208
C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\lbbho.ini
C:\WINDOWS\rdt.ini

diese Internetverbindung geht nicht zu deinem provider, sondern wird auf einen server in die Ukraine umgeleitet !
85.255.113.132,85.255.112.84

««
fixe mit hijackThis

Zitat

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: (no name) - {AB31942A-18BC-466D-ABE2-EDE4186DDB21} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC4D76F-3F2E-4DD0-AEF9-DEC65E45CF52}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CCS\Services\Tcpip\..\{A41B2040-EDC6-4ECE-9293-2C5DD76EBF67}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.84
O17 - HKLM\System\CS1\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.84
O17 - HKLM\System\CS2\Services\Tcpip\..\{467217AE-C2EF-4C6C-BEF2-C022C84A8BD8}: NameServer = 85.255.113.132,85.255.112.84

PC neustarten


««
bevor du wieder online gehst:
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken
so sollte deine Internetverbindung wieder erstellt werden
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Hi Sabina,

so, hab das jetzt nochmal gemacht und diesmal hat es geklappt.
Nur der Hoster mag wieder nicht - selbe Fehlermeldung.

Brauchst Du nochmal die Logs ? Also im Taskmanager taucht der Virus jetzt auch beim Neustart nicht mehr auf.

Ach ja, ein gutes neues Jahr wünsche ich noch.

#53 klar, poste noch mal das log vom HijackThis + die 6 logs von datfinbat
__________
MfG Sabina

rund um die PC-Sicherheit

#54 Hier sind sie: (System 32 wieder als Anhang)

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:44:12, on 01.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\TuneUpUtilities2006\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Florian\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AB31942A-18BC-466D-ABE2-EDE4186DDB21} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUpUtilities2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

*****************************************

tmp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\WINDOWS\Temp

*****************************************

down:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

*****************************************

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\

01.01.2007 17:44 0 sys.txt
01.01.2007 17:44 137 down.txt
01.01.2007 17:44 117 tmp.txt
01.01.2007 17:44 6.479 system.txt
01.01.2007 17:44 1.275 systemtemp.txt
01.01.2007 17:44 103.219 system32.txt
01.01.2007 17:41 536.399.872 hiberfil.sys
01.01.2007 17:41 805.306.368 pagefile.sys
13.09.2004 22:57 0 AUTOEXEC.BAT
13.09.2004 22:57 0 MSDOS.SYS
13.09.2004 22:57 0 CONFIG.SYS
13.09.2004 22:57 0 IO.SYS
13.09.2004 22:52 194 boot.ini
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
16 Datei(en) 1.342.105.489 Bytes
0 Verzeichnis(se), 3.431.956.480 Bytes frei

*******************************************

system:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\WINDOWS

01.01.2007 17:41 0 0.log
01.01.2007 17:41 159 wiadebug.log
01.01.2007 17:41 50 wiaservc.log
01.01.2007 17:41 2.048 bootstat.dat
01.01.2007 15:43 32.560 SchedLgU.Txt
22.12.2006 17:43 9.095 setupapi.log
10.12.2006 10:46 30.003 userinit.exe
03.12.2006 15:38 4.522 cdPlayer.ini
28.11.2006 21:40 297 Clony2.ini
25.09.2006 20:40 227 system.ini
25.09.2006 20:40 660 win.ini
25.09.2006 20:03 193.943 iis6.log
25.09.2006 20:03 36.846 ntdtcsetup.log
25.09.2006 20:03 75.000 tsoc.log
25.09.2006 20:03 8.833 tabletoc.log
25.09.2006 20:03 6.434 ocmsn.log
25.09.2006 20:03 27.628 netfxocm.log
25.09.2006 20:03 8.182 msgsocm.log
25.09.2006 20:03 148.906 FaxSetup.log
25.09.2006 20:02 50.822 msmqinst.log
14.09.2006 16:17 47.906 DPINST.LOG
10.08.2006 21:05 3.001 dasetup.log
10.06.2006 17:55 19 SoundConverter.INI
22.05.2006 14:17 4.674 Windows Update.log
10.02.2006 17:43 35 Ulead32.INI
05.02.2006 21:30 6.208 cddabase.ini
05.02.2006 21:30 603 WOC_CDDA.ini
18.02.2005 17:31 243 wmsetup10.log
18.02.2005 17:31 316.640 WMSysPr9.prx
09.02.2005 12:19 30 Prof.ini


*****************************************

systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 747C-0E3E

Verzeichnis von C:\DOKUME~1\Florian\LOKALE~1\Temp

01.01.2007 17:44 3.908 hijackthis.log
01.01.2007 17:42 16.384 Perflib_Perfdata_65c.dat
01.01.2007 14:32 260 GLF7.tmp
01.01.2007 14:31 173 GLG5.tmp
01.01.2007 14:31 33.792 GLH3.tmp
01.01.2007 14:31 165.376 GLC2.tmp
01.01.2007 14:18 0 hoster.tmp
01.01.2007 14:03 468 errorlog.txt
30.12.2006 22:22 4.592 SIntfIcn.ani
30.12.2006 22:22 22.068 SIntfNT.dll
30.12.2006 22:22 17.324 SIntf32.dll
30.12.2006 22:22 12.305 SIntf16.dll
30.12.2006 22:22 40.448 CmdLineExt03.dll
04.10.2006 09:23 668 datFind.bat
25.02.2006 23:28 130.048 avenger.exe
19.02.2006 18:27 382.728 vsutil.dll
19.02.2006 18:26 141.064 vsinit.dll
19.02.2006 18:26 79.624 vsdb.dll
19.02.2006 18:26 83.720 vsdata.dll
19.02.2006 18:26 104.200 vsavpro.dll
26.07.2002 16:02 10.752 GLF6.tmp
21 Datei(en) 1.249.902 Bytes
0 Verzeichnis(se), 3.431.968.768 Bytes frei

**************************************

Sollte jetzt alles o.k. sein, könntest DU mir ein paar Tipps geben wie mir das nicht wieder passiert ?

**************************************

Hab jetzt grad gesehen, dass im Hijack-log noch dise "02 - no file"-Datei drin ist.
Das ist wohl nicht so gut oder ?

#55 1.
deinstalliere AntiVir PersonalEdition Classic (kannst du spaeter wieder laden)

2.
lade Kaspersky Anti-Virus 6.0
http://virus-protect.org/antivirenfree.html
scanne und poste den scanreport hier
__________
MfG Sabina

rund um die PC-Sicherheit

#56 So, hier der Report.
Ich hoffe ich hab das richtig gemacht, dass alle möglichen desinfiziert habe und den Rest gelöscht habe.
Ich weiß, die Amateure sind anstrengend. Aber ich geb mir Mühe.

ähm ein Problem: die Datei hat 13 MB und ich kann sie nicht anhängen. Kannst Dir ja vorstellen wieviel Text das is. Soll ichs trotzdem reinkopieren ?

Es waren 685 infizierte Dateien mit folgendem Wurm:
"Virus Net-Worm.Win32.Allaple.a"

#57 ja, als Anhang reinstellen - teile die daten auf in mehrere Haeppchen
und schleunigst die windowsupdates machen !!!!!
__________
MfG Sabina

rund um die PC-Sicherheit

#58 o.k., aber ich kann ja immer nur einen Anhang hier reinstellen und Doppelpost is nicht.
Es sind 3 Dateien. Du musst halt kurz einen Zwischenpost machen, damit ich wieder kann. Oder gibt es eine andere Möglichkeit ?

so, jetzt gezipt. Hätt' ich ja gleich drauf kommen können...

#59 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
scanne noch mal, aber im abgesicherten modus und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#60 So nun hier der neueste Report.

Ach ja, kann es sein dass der Kaspersky irgendwie meine DFÜ-Verbindung beeinflusst. Wenn den Zugang zum Internet von sygate blocke geht nämlich nicht mehr viel...