Home » Viren, Trojaner & Malware Forum » Virusburster ..... uund jetzt ??? Wie bekomme ich den Virus wieder weg » Themenansicht

Virusburster ..... uund jetzt ??? Wie bekomme ich den Virus wieder weg
#0
14.11.2006, 19:34
M.a.r.c
...neu hier

Beiträge: 3
#1 Logfile of HijackThis v1.99.1
Scan saved at 19:29:02, on 14.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ishost.exe
C:\WINNT\system32\isnotify.exe
C:\WINNT\system32\ismini.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Trust\DS-3300X Wireless Optical Deskset\Keyboard\kbdap32a.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Trust\DS-3300X Wireless Optical Deskset\Mouse\mouse32a.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WIN2K\RaConfig2500.exe
C:\Programme\Java\jre1.5.0_01\bin\javaws.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Trust\DS-3300X Wireless Optical Deskset\Keyboard\kbdap32a.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\DS-3300X Wireless Optical Deskset\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WIN2K\RaConfig2500.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{48DD0970-FCA7-4B1A-9A8A-4FE8282718C9}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E63C409-1A2A-40D9-8B28-4DF3E18A1B9D}: NameServer = 192.168.2.1
O21 - SSODL: cussers - {ff170564-36c8-43f7-9100-559e166405cf} - C:\WINNT\system32\cfltygd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
Seitenanfang Seitenende
15.11.2006, 11:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 M.a.r.c

««
scanne und poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2006, 17:36
M.a.r.c
...neu hier

Themenstarter

Beiträge: 3
#3 keiner - Mi 15.11.2006 17:32:15,83 Service Pack 4
ComboFix 06.11.9 - Running from: "D:\Eigene Dateien"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\ishost.exe
C:\WINNT\system32\ismini.exe
C:\WINNT\system32\isnotify.exe
C:\WINNT\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-10-15 to 2006-11-15 ))))))))))))))))))))))))))))))))))


2006-11-13 08:18 77,824 --a------ C:\WINNT\system32\cfltygd.dll
2006-11-07 20:47 54,272 --a------ C:\WINNT\system32\DrvTrNTm.dll
2006-11-07 20:47 106,496 --a------ C:\WINNT\system32\DrvTrNTl.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-14 18:20 23992 --a------ C:\Dokumente und Einstellungen\keiner\Anwendungsdaten\AdobeDLM.log
2006-11-14 18:20 -------- d-------- C:\Programme\Filzip
2006-09-25 17:45 666240 --a------ C:\WINNT\system32\aswBoot.exe
2006-09-25 17:40 87424 --a------ C:\WINNT\system32\drivers\aswmon2.sys
2006-09-25 17:40 85952 --a------ C:\WINNT\system32\drivers\aswmon.sys
2006-09-25 17:39 36176 --a------ C:\WINNT\system32\drivers\aswTdi.sys
2006-09-25 17:39 16352 --a------ C:\WINNT\system32\drivers\aswRdr.sys
2006-09-25 17:37 90112 --a------ C:\WINNT\system32\AVASTSS.scr
2006-09-25 17:37 24560 --a------ C:\WINNT\system32\drivers\aavmker4.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINNT\\system32\\NvMcTray.dll,NvTaskbarInit"
"AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 "
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
@=""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_01\\bin\\jusched.exe"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"OFFICEKB"="C:\\Programme\\Trust\\DS-3300X Wireless Optical Deskset\\Keyboard\\kbdap32a.EXE"
"FLMOFFICE4DMOUSE"="C:\\Programme\\Trust\\DS-3300X Wireless Optical Deskset\\Mouse\\mouse32a.exe"
"TotalRecorderScheduler"="\"C:\\Programme\\HighCriteria\\TotalRecorder\\TotRecSched.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00002002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,c0
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{ff170564-36c8-43f7-9100-559e166405cf}"="cussers"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"kernel32.dll"="C:\\WINNT\\system32\\isnotify.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"cussers"="{ff170564-36c8-43f7-9100-559e166405cf}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: Wed 2006-11-15 17:32:34.85
C:\ComboFix.txt ... 06-11-15 17:32
Seitenanfang Seitenende
15.11.2006, 18:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.11.2006, 18:42
M.a.r.c
...neu hier

Themenstarter

Beiträge: 3
#5 Verzeichnis von C:\WINNT\system32

15.11.2006 18:01 16.384 Perflib_Perfdata_2d4.dat
15.11.2006 18:01 21.828 nvapps.xml
14.11.2006 17:41 16.384 Perflib_Perfdata_1f0.dat
13.11.2006 19:16 83.128 FNTCACHE.DAT
13.11.2006 08:18 77.824 cfltygd.dll
13.11.2006 08:18 4.286 ts.ico
13.11.2006 08:18 4.286 ot.ico
25.10.2006 20:17 16.384 Perflib_Perfdata_150.dat
24.10.2006 17:34 16.384 Perflib_Perfdata_300.dat
20.10.2006 15:36 16.384 Perflib_Perfdata_310.dat
01.10.2006 22:33 3.002 CONFIG.NT
25.09.2006 17:45 666.240 aswBoot.exe
25.09.2006 17:37 90.112 AVASTSS.scr
17.05.2006 21:53 54.272 DrvTrNTm.dll
11.05.2006 10:48 106.496 DrvTrNTl.dll




Verzeichnis von C:\DOKUME~1\keiner\LOKALE~1\Temp

15.11.2006 18:01 0 me_5
15.11.2006 18:01 0 me_ZLmdF7OUZsNf1Jd
15.11.2006 18:01 0 me_XM6daQUNcQd0XKz
15.11.2006 18:01 0 me_KOPxUDWmeZme9nL
15.11.2006 18:01 206 jusched.log
5 Datei(en) 206 Bytes
0 Verzeichnis(se), 5.815.271.424 Bytes frei




Verzeichnis von C:\WINNT

15.11.2006 18:16 41 Filzip.ini
15.11.2006 18:01 1.409 QTFont.for
15.11.2006 18:01 54.156 QTFont.qfn
14.11.2006 20:44 32.594 SchedLgU.Txt
14.11.2006 20:44 1.186.782 ShellIconCache
13.11.2006 11:07 1.312 ockodak.log
13.11.2006 11:07 19.260 ocgen.log
13.11.2006 11:07 52.438 comsetup.log
13.11.2006 11:07 67.822 iis5.log
13.11.2006 11:07 1.968 imsins.log
13.11.2006 08:27 265.488 wmsetup.log
01.10.2006 22:30 472.249 setupapi.log
28.09.2006 22:36 0 QuickInstall.INI
28.09.2006 22:30 1.114 Windows Update.log
01.09.2006 20:33 1.986 spupdsvc.log
01.09.2006 20:32 1.409 imsins.BAK
01.09.2006 20:32 3.138 KB885492.log
01.09.2006 20:07 316.640 WMSysPr9.prx
01.09.2006 16:11 1.514 OEWABLog.txt
01.09.2006 16:09 18.885 Active Setup Log.txt
06.07.2006 21:05 754 WORDPAD.INI



Verzeichnis von C:\WINNT\Temp




Verzeichnis von C:\WINNT\Downloaded Program Files

01.09.2006 16:11 65 desktop.ini
22.06.2006 11:41 5.032 swflash.inf



Verzeichnis von C:\

15.11.2006 18:44 0 sys.txt
15.11.2006 18:43 654 down.txt
15.11.2006 18:43 119 tmp.txt
15.11.2006 18:42 5.130 system.txt
15.11.2006 18:41 523 systemtemp.txt
15.11.2006 18:38 88.682 system32.txt
15.11.2006 18:21 1.397 c.txt
15.11.2006 18:21 119 temp.txt
15.11.2006 18:20 5.130 windows.txt
15.11.2006 17:32 5.481 ComboFix.txt
15.11.2006 17:12 1.610.612.736 PAGEFILE.SYS
31.10.2006 20:59 56.854 devicetable.log
Seitenanfang Seitenende
15.11.2006, 20:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 M.a.r.c

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|kernel32.dll
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|cussers
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler|{ff170564-36c8-43f7-9100-559e166405cf}

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{ff170564-36c8-43f7-9100-559e166405cf}

Files to delete:
C:\WINNT\system32\cfltygd.dll
C:\WINNT\system32\ts.ico
C:\WINNT\system32\ot.ico
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1