Vermutung 'Quality Codec'

#1 Moin Moin,

werde zur Zeit von irgendetwas geplagt. kA was es genau ist. Seit eine fremde Person an meinem Rechner war ist das nun so -.-.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:13:00, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\QualityCodec\pmsngr.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Java\jre1.5.0_07\bin\jusched.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\VirusBursters\virusbursters.exe
D:\Programme\QualityCodec\pmmon.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\ISW\alice\signup\AliceCnn.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Dokumente und Einstellungen\Sale\Desktop\avenger\avenger.exe
D:\Dokumente und Einstellungen\Sale\Desktop\hijackthis_199\HijackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ds.destinysphere.net/ds/index_login.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - D:\Programme\QualityCodec\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149588341140
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149588312312
O17 - HKLM\System\CCS\Services\Tcpip\..\{41FABB23-43F3-4D76-8092-7C72BFAF7B09}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

Ich Danke im Voraus

LG

Sale

PostScriptum: Waere nett wenn ihr mir sagen koennten, wie ich mir das eingefangen habe!

#2 0xSale

poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html

Hinweis:
wenn du das avenger-sript schon allein anwenden willst, musst du alles in D:\ aendern - mit smitfraudfix kannst du scannen - entfernt den Virencodec
http://virus-protect.org/artikel/spyware/qualitycodec_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 So, bitteschoen. Habe den Hinweis nich so ganz verstanden. Waere nett wenn der hinwwei einwenig erlaeutert wird.

Zitat

Sale - 06-11-16 16:50:56,29 Service Pack 2
ComboFix 06.11.9 - Running from: "D:\Dokumente und Einstellungen\Sale"

((((((((((((((((((((((((((((((( Files Created from 2006-10-16 to 2006-11-16 ))))))))))))))))))))))))))))))))))


2006-11-14 12:50 77,824 --a------ D:\WINDOWS\system32\jbtazy.dll
2006-11-06 21:32 765,952 --a------ D:\WINDOWS\system32\xvidcore.dll
2006-11-06 21:32 180,224 --a------ D:\WINDOWS\system32\xvidvfw.dll
2006-10-18 13:34 99,008 --a------ D:\WINDOWS\system32\POSTWPP.DLL
2006-10-18 13:34 98,960 --a------ D:\WINDOWS\system32\FTPWPP.DLL
2006-10-18 13:34 93,456 --a------ D:\WINDOWS\system32\FPWPP.DLL
2006-10-18 13:34 50,816 --a------ D:\WINDOWS\system32\PIPARSE.DLL
2006-10-18 13:34 145,360 --a------ D:\WINDOWS\system32\WEBPOST.DLL
2006-10-18 13:34 121,984 --a------ D:\WINDOWS\system32\CRSWPP.DLL
2006-10-18 13:34 112,064 --a------ D:\WINDOWS\system32\WPWIZDLL.DLL


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-16 16:42 -------- d-------- D:\Programme\Mozilla Firefox
2006-11-16 15:58 -------- d--h----- D:\Programme\InstallShield Installation Information
2006-11-16 15:57 -------- d-------- D:\Programme\QualityCodec
2006-11-16 15:56 -------- d-------- D:\Programme\VirusBursters
2006-11-16 15:54 -------- d-------- D:\Dokumente und Einstellungen\Sale\Anwendungsdaten\OpenOffice.org2
2006-11-13 20:02 -------- d-------- D:\Dokumente und Einstellungen\Sale\Anwendungsdaten\teamspeak2
2006-11-09 19:52 -------- d---s---- D:\Dokumente und Einstellungen\Sale\Anwendungsdaten\Microsoft
2006-11-09 14:42 -------- d-------- D:\Dokumente und Einstellungen\Sale\Anwendungsdaten\Azureus
2006-11-09 14:31 -------- d-------- D:\Programme\WinRAR
2006-11-06 21:32 -------- d-------- D:\Programme\Xvid
2006-11-02 15:27 -------- d-------- D:\Programme\TI Education
2006-11-02 14:54 -------- d-------- D:\Programme\MathProf40
2006-11-02 13:02 -------- d-------- D:\Programme\ElsterFormular2005
2006-11-02 12:28 -------- d-------- D:\Programme\IrfanView
2006-10-18 13:34 -------- d-------- D:\Programme\Web Publish
2006-10-18 13:33 -------- d-------- D:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-18 13:33 -------- d-------- D:\Programme\Gemeinsame Dateien\designer
2006-10-18 13:32 -------- d-------- D:\Programme\Microsoft Visual Studio
2006-10-18 13:29 -------- d-------- D:\Programme\Gemeinsame Dateien
2006-10-12 16:41 74752 --a------ D:\WINDOWS\ST6UNST.EXE
2006-10-12 16:41 290816 --------- D:\WINDOWS\Setup1.exe
2006-10-08 21:36 -------- d-------- D:\Dokumente und Einstellungen\Sale\Anwendungsdaten\LimeWire
2006-10-08 20:30 -------- d-------- D:\Programme\LimeWire
2006-10-06 16:53 -------- d-------- D:\Programme\PartyGaming.Net
2006-09-29 18:20 -------- d-------- D:\Programme\directx
2006-09-29 18:18 -------- d-------- D:\Programme\Rockstar Games
2006-09-29 18:18 -------- d-------- D:\Programme\Gemeinsame Dateien\InstallShield
2006-09-29 17:13 -------- d-------- D:\Dokumente und Einstellungen\Sale\Anwendungsdaten\Macromedia
2006-09-25 17:15 -------- d-------- D:\Programme\AntiVir PersonalEdition Classic
2006-09-19 16:43 -------- d-------- D:\Dokumente und Einstellungen\Sale\Anwendungsdaten\Xfire


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"avgnt"="\"D:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NeroFilterCheck"="D:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="D:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"TkBellExe"="\"D:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\
6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,9a,01,00,00,00,00,00,00,9b,01,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="D:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="D:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="D:\\Programme\\QualityCodec\\isamonitor.exe"
"pmsngr.exe"="D:\\Programme\\QualityCodec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-16 16:51:35.32
D:\ComboFix.txt ... 06-11-16 16:51

LG

Sale

#4 du kannst das script vom avenger auf der seite anwenden + den smitfraudfix , vergiss nicht, im, script, alles auf D:\ zu aendern
die registryeintraege kannst du uebernehmen, wie sie sind...

das sind die viren (vom Codec)

Zitat

Files to delete:
D:\WINDOWS\system32\jbtazy.dll

Folders to delete:
D:\Programme\QualityCodec
D:\Programme\VirusBursters

__________
MfG Sabina

rund um die PC-Sicherheit

#5 hmmm, habe dein Quote in avenger eingegeben. Nach dem Reboot erschien folgender report:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wqnibumo

*******************

Script file located at: \??\D:\fhdduhpc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:



File D:\WINDOWS\system32\jbtazy.dll not found!
Deletion of file D:\WINDOWS\system32\jbtazy.dll failed!

Could not process line:
D:\WINDOWS\system32\jbtazy.dll
Status: 0xc0000034

Folder D:\Programme\QualityCodec deleted successfully.
Folder D:\Programme\VirusBursters deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ich wusste nich was ich mit SmitfraudFix machen soll ^^. Habe einfach mal gescannt. Folgendes kam dabei raus:

Zitat

SmitFraudFix v2.122

Scan done at 17:51:52.25, 06-11-16
Run from D:\Dokumente und Einstellungen\Sale\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Sale


»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Sale\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

D:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
D:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOKUME~1\Sale\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» D:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

War das dann alles? Falls ja: Vielen dank ^^.

LG

Sale