Virus Buster, wie bekomme ich es weg??

#0
16.11.2006, 15:32
...neu hier

Beiträge: 4
#1 Hallo,

hab mir leider auch VirusBuster eingefangen.

Ich hoffe ihr könnt mir bitte helfen.

Hier mein Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 15:28:49, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\issearch.exe
D:\_____PROGRAMME_____\zlclient.exe
C:\Programme\Gemeinsame Dateien\{145B285E-088F-1031-0804-040411300031}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\winBED.tmp.exe
D:\_____DOWNLOADS_____\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
R3 - URLSearchHook: (no name) - {D73F49B6-B51B-4d32-A3B7-BD04B8342F53} - C:\Programme\MorpheusBar\SrchAstt\1.bin\MBSRCAS.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Morpheus Toolbar - {3F3714A9-89A4-46be-8AF3-D0C9D1FB03F9} - C:\Programme\MorpheusBar\bar\1.bin\MORPHBAR.DLL
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll
O4 - HKLM\..\Run: [Zone Labs Client] "D:\_____PROGRAMME_____\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] D:\_____PROGRAMME_____\phonostar\ps_agent.exe
O4 - Startup: Morpheus.lnk = D:\_____PROGRAMME_____\Morpheus\Morpheus.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\_____PROGRAMME_____\Adobe Acrobat Reader\Reader\reader_sl.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\_____P~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\_____P~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: cussers - {ff170564-36c8-43f7-9100-559e166405cf} - C:\WINDOWS\system32\cfltygd.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\Zo
Seitenanfang Seitenende
16.11.2006, 16:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Candela

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2006, 17:53
...neu hier

Themenstarter

Beiträge: 4
#3 1.
Can Dela - 06-11-16 17:29:55,96 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Can Dela"

((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Dxccwrd.dll
C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Dxcknwrd.dll
C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Dxcuknwrd.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\deskbar_e46.exe
C:\nwnmff_e46.exe
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HEFO9YN\dfndrff_e_uit[1].exe
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QN27Q5AF\drsmartload44a[1].exe
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XIVGXUR\deskbar_e[1].exe
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HEFO9YN\kybrdff_e[1].exe
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MWS4F65J\MTE3NDI6ODoxNg[1].exe
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XIVGXUR\nwnmff_e[1].exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\Programme\Internet Explorer\rylebu.html
C:\Programme\Windows Media Player\pojyxisi.html
C:\windows.exe
C:\WINDOWS\system32\ixt0.dll
C:\Programme\Deskbar
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{345B285E-088F-1031-0804-040411300031}
C:\Programme\Gemeinsame Dateien\{145B285E-088F-1031-0804-040411300031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\PPATCH~1


((((((((((((((((((((((((((((((( Files Created from 2006-10-16 to 2006-11-16 ))))))))))))))))))))))))))))))))))


2006-11-16 17:08 59,392 --a------ C:\WINDOWS\system32\drvdon.dll
2006-11-16 17:08 40,973 ---hs---- C:\WINDOWS\system32\awtqnkh.dll
2006-11-16 13:44 77,824 --a------ C:\WINDOWS\system32\cfltygd.dll
2006-11-15 18:01 620,652 ---hs---- C:\WINDOWS\system32\qtvwa.bak2
2006-11-02 18:58 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-11-02 13:50 692,276 --------- C:\WINDOWS\system32\awvtq.dll
2006-11-02 13:50 618,346 ---hs---- C:\WINDOWS\system32\qtvwa.bak1
2006-11-02 13:50 60,436 --a------ C:\WINDOWS\system32\kexxehlr.dll
2006-11-02 13:50 110,612 --a------ C:\WINDOWS\system32\wlvlllod.exe
2006-11-02 13:32 8,464 --a------ C:\WINDOWS\system32\sporder.dll
2006-11-02 13:32 28,672 --a------ C:\mc44a46.exe
2006-11-02 13:32 266,240 --a------ C:\yz02.exe
2006-11-02 13:32 1,259 --a------ C:\WINDOWS\system32\yef9b760.sys
2006-11-02 13:31 2 --a------ C:\WINDOWS\system32\wnsapisv.exe
2006-11-02 13:28 51,200 --a------ C:\WINDOWS\system32\drvsaw.dll
2006-11-02 13:28 40,973 ---hs---- C:\WINDOWS\system32\hggdbxu.dll
2006-11-02 13:01 15,872 --a------ C:\WINDOWS\system32\winzlo32.dll



(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-16 17:32 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-16 17:31 -------- d-------- C:\Programme\Windows Media Player
2006-11-16 17:31 -------- d-------- C:\Programme\Internet Explorer
2006-11-16 15:14 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-16 13:46 -------- d-------- C:\Programme\VirusBursters
2006-11-02 13:50 -------- d-------- C:\Programme\VSAdd-in

2006-11-02 13:31 -------- d-------- C:\Programme\MSN Gaming Zone
2006-11-01 18:39 -------- d-------- C:\Programme\ICQToolbar
2006-10-26 12:02 -------- d-------- C:\Programme\Apple Software Update
2006-10-21 14:00 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-10-21 14:00 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Real
2006-10-16 17:12 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Apple Computer
2006-10-16 16:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-10-15 18:32 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\phonostar-Player
2006-10-13 11:56 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-11 18:01 -------- d-------- C:\Programme\DFX
2006-10-05 21:55 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Morpheus
2006-10-05 21:39 -------- d-------- C:\Programme\MorpheusBar
2006-10-05 15:33 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\AdobeUM
2006-10-04 16:48 -------- d---s---- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Microsoft
2006-10-04 15:41 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Adobe
2006-10-01 16:20 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Leadertech
2006-10-01 16:04 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Sony Ericsson
2006-10-01 15:54 -------- d-------- C:\Programme\Adobe
2006-10-01 15:48 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Teleca
2006-10-01 15:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-10-01 15:43 6176 --a------ C:\WINDOWS\system32\drivers\w810cm.sys
2006-10-01 15:43 5808 --a------ C:\WINDOWS\system32\drivers\w810wh.sys
2006-10-01 15:12 -------- d-------- C:\Programme\Java
2006-09-27 17:10 -------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2006-09-25 19:34 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-24 13:32 29696 --a------ C:\WINDOWS\mickey32.dll
2006-09-24 13:32 232784 --a------ C:\WINDOWS\Matrix Code.scr
2006-09-24 13:32 2285222 --a------ C:\WINDOWS\Matrix Code.exe
2006-09-24 13:28 524800 --a------ C:\WINDOWS\system32\Jennifer Aniston 2.scr
2006-09-23 11:58 -------- d-------- C:\Programme\ICQLite
2006-09-22 17:35 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\ICQLite
2006-09-22 17:12 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\Macromedia
2006-09-22 15:58 -------- d-------- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\T-DSL SpeedManager
2006-09-22 15:56 -------- d-------- C:\Programme\T-DSL SpeedManager
2006-09-22 15:49 15781 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys
2006-09-22 15:49 -------- d-------- C:\Programme\T-Com
2006-09-10 17:47 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-09-10 15:09 62 --ahs---- C:\Dokumente und Einstellungen\Can Dela\Anwendungsdaten\desktop.ini
2006-09-10 15:03 99970 --a------ C:\WINDOWS\UninstallFirefox.exe
2006-09-10 14:22 0 -rahs---- C:\MSDOS.SYS
2006-09-10 14:22 0 -rahs---- C:\IO.SYS
2006-09-10 14:22 0 --a------ C:\CONFIG.SYS
2006-09-10 14:22 0 --a------ C:\AUTOEXEC.BAT
2006-08-25 04:47 129784 --------- C:\WINDOWS\system32\pxafs.dll
2006-08-25 04:47 115880 --------- C:\WINDOWS\system32\pxinsi64.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"PhonostarAgent"="D:\\_____PROGRAMME_____\\phonostar\\ps_agent.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Zone Labs Client"="\"D:\\_____PROGRAMME_____\\zlclient.exe\""
"CTDrive"="rundll32.exe C:\\WINDOWS\\system32\\drvdon.dll,startup"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Programme\\Internet Explorer\\rylebu.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00000000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Programme\\Windows Media Player\\pojyxisi.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00000000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{ff170564-36c8-43f7-9100-559e166405cf}"="cussers"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"cussers"="{ff170564-36c8-43f7-9100-559e166405cf}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 06-11-16 17:34:18.50
C:\ComboFix.txt ... 06-11-16 17:34


den 2. schritt hab ich auch gemacht, blos den 3. versteh ich leider garnicht. das funktioniert bei mir überhaupt nicht-.-

Greetz Candela
Seitenanfang Seitenende
17.11.2006, 00:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 0.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|cussers
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler|{ff170564-36c8-43f7-9100-559e166405cf}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{ff170564-36c8-43f7-9100-559e166405cf}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7F78A644-C4A7-4F71-BA4E-5323AA95E7D5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03

Files to delete:
C:\WINDOWS\system32\drvdon.dll
C:\WINDOWS\system32\awtqnkh.dll
C:\WINDOWS\system32\cfltygd.dll
C:\WINDOWS\system32\qtvwa.bak2
C:\WINDOWS\system32\vsutil_loc0407.dll
C:\WINDOWS\system32\awvtq.dll
C:\WINDOWS\system32\qtvwa.bak1
C:\WINDOWS\system32\kexxehlr.dll
C:\WINDOWS\system32\wlvlllod.exe
C:\WINDOWS\system32\sporder.dll
C:\mc44a46.exe
C:\yz02.exe
C:\WINDOWS\system32\yef9b760.sys
C:\WINDOWS\system32\wnsapisv.exe
C:\WINDOWS\system32\drvsaw.dll
C:\WINDOWS\system32\hggdbxu.dll
C:\WINDOWS\system32\winzlo32.dll

Folders to delete:
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XIVGXUR
C:\Dokumente und Einstellungen\Can Dela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HEFO9YN
C:\Programme\VirusBursters
C:\Programme\VSAdd-in

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


1.
scanne mit smitfraudfix - option 1 und 2 - lasse auch die registry mitreinigen - poste hier beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Zitat

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Kurzanleitung datfindbat

1. Doppel-klick DATFINDBAT

2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

3. auf das Command Fenster klicken und beliebige Taste drücken

4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

6. Wiederhole Schritt 3 und speichere als temp.txt

7. Wiederhole Schritt 3 und speichere als down.txt

8. Wiederhole Schritt 3 und speichere als c.txt

9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 15:46
...neu hier

Themenstarter

Beiträge: 4
#5 1.
option 1

SmitFraudFix v2.122

Scan done at 15:38:59,87, 17.11.2006
Run from C:\Dokumente und Einstellungen\Can Dela\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Can Dela


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Can Dela\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\CANDEL~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End






Option 2:

SmitFraudFix v2.122

Scan done at 15:39:32,57, 17.11.2006
Run from C:\Dokumente und Einstellungen\Can Dela\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End





2. datfindbat

1.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 145B-285E

Verzeichnis von C:\WINDOWS\system32

17.11.2006 15:39 0 tmp.txt
17.11.2006 15:39 342 tmp.reg
17.11.2006 15:36 54.112 vsconfig.xml
17.11.2006 15:15 618.293 qtvwa.ini
16.11.2006 18:02 2.206 wpa.dbl
16.11.2006 18:02 126.996 maonqtkf.dll
16.11.2006 13:39 30.748 ishost.exe_tobedeleted
07.11.2006 13:22 143 mcrh.tmp
02.11.2006 19:02 4.212 zllictbl.dat
02.11.2006 13:11 383.254 perfh009.dat
02.11.2006 13:11 394.500 perfh007.dat
02.11.2006 13:11 53.608 perfc009.dat
02.11.2006 13:11 64.598 perfc007.dat
02.11.2006 13:11 906.552 PerfStringBackup.INI
16.10.2006 19:17 23.392 nscompat.tlb
16.10.2006 19:17 16.832 amcompat.tlb
01.10.2006 16:03 114.968 FNTCACHE.DAT
01.10.2006 15:12 7.006 jupdate-1.5.0_06-b05.log
24.09.2006 13:28 4.076.296 Jennifer Aniston 2.mpf
24.09.2006 13:28 524.800 Jennifer Aniston 2.scr
10.09.2006 17:47 98.304 CmdLineExt.dll
10.09.2006 15:16 0 h323log.txt
10.09.2006 14:41 3.207 jupdate-1.4.2_05-b04.log
10.09.2006 14:37 239 NVU001.nvu
10.09.2006 14:25 261 $winnt$.inf
10.09.2006 14:22 2.951 CONFIG.NT
10.09.2006 14:21 488 logonui.exe.manifest
10.09.2006 14:21 488 WindowsLogon.manifest
10.09.2006 14:21 749 cdplayer.exe.manifest
10.09.2006 14:21 749 wuaucpl.cpl.manifest
10.09.2006 14:21 749 nwc.cpl.manifest
10.09.2006 14:21 749 sapi.cpl.manifest
10.09.2006 14:21 749 ncpa.cpl.manifest
10.09.2006 14:19 21.740 emptyregdb.dat
01.09.2006 15:14 65.536 QuickTimeVR.qtx
01.09.2006 15:14 49.152 QuickTime.qts
25.08.2006 04:47 183.032 pxmas.dll
25.08.2006 04:47 115.880 pxinsi64.exe
25.08.2006 04:47 1.309.432 pxsfs.dll
25.08.2006 04:47 379.640 pxwave.dll
25.08.2006 04:47 67.240 pxhpinst.exe
25.08.2006 04:47 477.944 pxdrv.dll
25.08.2006 04:47 63.144 pxcpya64.exe
25.08.2006 04:47 129.784 pxafs.dll
25.08.2006 04:47 514.808 px.dll
25.08.2006 04:47 39.672 vxblock.dll
25.08.2006 04:47 62.632 pxinsa64.exe
23.08.2006 23:38 392.824 vsdatant.sys
23.08.2006 23:38 71.672 zlcommdb.dll
23.08.2006 23:38 83.960 zlcomm.dll
23.08.2006 23:38 100.344 vsxml.dll
23.08.2006 23:38 59.384 vswmi.dll
23.08.2006 23:38 440.312 vsutil.dll
23.08.2006 23:38 268.280 vspubapi.dll
23.08.2006 23:38 71.672 vsregexp.dll
23.08.2006 23:38 104.440 vsmonapi.dll
23.08.2006 23:38 157.688 vsinit.dll
23.08.2006 23:37 83.960 vsdata.dll
23.08.2006 23:37 796.584 libeay32_0.9.6l.dll

2.

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 145B-285E

Verzeichnis von C:\DOKUME~1\CANDEL~1\LOKALE~1\Temp

17.11.2006 15:38 512 ~DF9C99.tmp
1 Datei(en) 512 Bytes
0 Verzeichnis(se), 5.306.064.896 Bytes frei

3.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 145B-285E

Verzeichnis von C:\WINDOWS

17.11.2006 15:42 345.919 WindowsUpdate.log
17.11.2006 15:40 178.976 setupact.log
17.11.2006 15:36 0 0.log
17.11.2006 15:36 2.048 bootstat.dat
17.11.2006 15:35 31.506 SchedLgU.Txt
17.11.2006 11:02 391.448 setupapi.log
16.11.2006 15:07 216 wiadebug.log
16.11.2006 14:05 50 wiaservc.log
13.11.2006 22:06 54.156 QTFont.qfn
16.10.2006 19:18 23.716 wmsetup.log
16.10.2006 19:18 461 wmsetup10.log
16.10.2006 17:11 1.409 QTFont.for
05.10.2006 20:59 316.640 WMSysPr9.prx
05.10.2006 20:56 95 winamp.ini
01.10.2006 16:03 1.454 COM+.log
01.10.2006 15:45 104.852 DPINST.LOG
24.09.2006 13:32 2.285.222 Matrix Code.exe
24.09.2006 13:32 232.784 Matrix Code.scr
24.09.2006 13:32 29.696 mickey32.dll
24.09.2006 13:32 260 system.ini
24.09.2006 13:28 618 win.ini
22.09.2006 17:10 4.407 mozver.dat
10.09.2006 15:27 0 nsreg.dat
10.09.2006 15:15 1.920 regopt.log
10.09.2006 15:13 0 Sti_Trace.log
10.09.2006 15:09 400 ODBC.INI
10.09.2006 15:09 0 setuperr.log
10.09.2006 15:03 99.970 UninstallFirefox.exe
10.09.2006 14:36 3.587 Ascd_tmp.ini
10.09.2006 14:35 994 DirectX.log
10.09.2006 14:28 829 OEWABLog.txt
10.09.2006 14:28 801.418 setuplog.txt
10.09.2006 14:27 8.192 REGLOCS.OLD
10.09.2006 14:26 48.623 iis6.log
10.09.2006 14:26 7.964 ntdtcsetup.log
10.09.2006 14:26 15.913 comsetup.log
10.09.2006 14:26 10.187 tsoc.log
10.09.2006 14:26 1.252 tabletoc.log
10.09.2006 14:26 4.382 imsins.log
10.09.2006 14:26 885 ocmsn.log
10.09.2006 14:22 0 control.ini
10.09.2006 14:22 4.161 ODBCINST.INI
10.09.2006 14:21 749 WindowsShell.Manifest
10.09.2006 14:19 1.487 MedCtrOC.log
10.09.2006 14:19 871 msgsocm.log
10.09.2006 14:19 14.732 ocgen.log
10.09.2006 14:19 11.538 FaxSetup.log
10.09.2006 14:19 1.023 sessmgr.setup.log
10.09.2006 14:19 2.790 netfxocm.log
10.09.2006 14:18 37 vbaddin.ini
10.09.2006 14:18 36 vb.ini
10.09.2006 14:18 133 DtcInstall.log
10.09.2006 14:18 10.226 msmqinst.log
10.09.2006 14:16 200 cmsetacl.log
03.08.2004 23:58 288.768 winhlp32.exe
03.08.2004 23:58 153.600 regedit.exe
03.08.2004 23:58 70.144 NOTEPAD.EXE
03.08.2004 23:57 10.752 hh.exe
03.08.2004 23:57 1.035.264 explorer.exe
03.08.2004 23:57 50.688 twain_32.dll
14.11.2003 16:36 11.857 nvswak.vxd
14.11.2003 16:36 6.144 nvoclk64.sys
14.11.2003 16:36 4.096 nvoclock.sys
13.08.2003 04:17 509.984 50comupd.exe
23.08.2001 13:00 1.405 msdfmap.ini
23.08.2001 13:00 94.800 twain.dll
23.08.2001 13:00 15.872 TASKMAN.EXE
23.08.2001 13:00 49.680 twunk_16.exe
23.08.2001 13:00 25.600 twunk_32.exe
23.08.2001 13:00 80 explorer.scf
23.08.2001 13:00 16.730 Feder.bmp
23.08.2001 13:00 26.680 F„cher.bmp
23.08.2001 13:00 18.944 vmmreg32.dll
23.08.2001 13:00 2 desktop.ini
23.08.2001 13:00 65.978 Seifenblase.bmp
23.08.2001 13:00 26.582 Granit.bmp
23.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
23.08.2001 13:00 17.362 Rhododendron.bmp
23.08.2001 13:00 82.944 clock.avi
23.08.2001 13:00 257.568 winhelp.exe
23.08.2001 13:00 17.062 Kaffeetasse.bmp
23.08.2001 13:00 48.680 winnt.bmp
23.08.2001 13:00 48.680 winnt256.bmp
23.08.2001 13:00 34.818 wmprfDEU.prx
23.08.2001 13:00 1.272 Blaue Spitzen 16.bmp
23.08.2001 13:00 17.336 Angler.bmp
23.08.2001 13:00 65.954 Pr„riewind.bmp
23.08.2001 13:00 9.522 Zapotek.bmp
23.08.2001 13:00 707 _default.pif
89 Datei(en) 8.211.819 Bytes
0 Verzeichnis(se), 5.306.056.704 Bytes frei

4.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 145B-285E

Verzeichnis von C:\WINDOWS\Temp

17.11.2006 15:36 256 ZLT0741c.TMP
17.11.2006 15:36 256 ZLT07419.TMP
17.11.2006 15:26 256 ZLT06c71.TMP
17.11.2006 15:26 256 ZLT06c6e.TMP
4 Datei(en) 1.024 Bytes
0 Verzeichnis(se), 5.306.015.744 Bytes frei

5.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 145B-285E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

10.09.2006 14:21 65 desktop.ini
22.06.2006 10:41 5.032 swflash.inf
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 5.306.015.744 Bytes frei

6.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 145B-285E

Verzeichnis von C:\

17.11.2006 15:44 0 sys.txt
17.11.2006 15:43 338 down.txt
17.11.2006 15:43 420 tmp.txt
17.11.2006 15:42 4.632 system.txt
17.11.2006 15:42 288 systemtemp.txt
17.11.2006 15:41 100.920 system32.txt
17.11.2006 15:39 884 rapport.txt
17.11.2006 15:36 0 avenger.txt
17.11.2006 15:36 536.399.872 hiberfil.sys
17.11.2006 15:36 805.306.368 pagefile.sys
17.11.2006 15:05 12.902 vm404.log
16.11.2006 17:51 97 c.txt
16.11.2006 17:50 97 temp.txt
16.11.2006 17:49 97 windows.txt
16.11.2006 17:34 12.525 ComboFix.txt
10.09.2006 14:22 0 CONFIG.SYS
10.09.2006 14:22 0 MSDOS.SYS
10.09.2006 14:22 0 IO.SYS
10.09.2006 14:22 0 AUTOEXEC.BAT
10.09.2006 14:15 211 boot.ini
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
23.08.2001 13:00 4.952 bootfont.bin
23 Datei(en) 1.342.143.351 Bytes
0 Verzeichnis(se), 5.306.011.648 Bytes frei
Seitenanfang Seitenende
17.11.2006, 17:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\qtvwa.ini
C:\WINDOWS\system32\maonqtkf.dll
C:\WINDOWS\system32\ishost.exe_tobedeleted
C:\WINDOWS\system32\mcrh.tmp
««
poste dann noch mal die 6 logs von datfindbat ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 17:22
...neu hier

Beiträge: 1
#7 hi all, hab mir auch diesen virus buster eingefangen nur mein prob is ich kenne mich selber net soo gut mit pc`s aus habt ihr evtl. ne noob anleitung wie ich das dumme teile wegbekomme? ^^
Seitenanfang Seitenende
17.11.2006, 18:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Saith

arbeite das ab und poste hier die logs
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2006, 12:08
...neu hier

Themenstarter

Beiträge: 4
#9 Danke Danke Sabina!!!!

ich habs wegbekommen.

vielen herzlichen Dank nochmal, ich war schon fast am verzweifeln^^


Greetz Candela
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: