TR/RKit.Nuclear.0.A Gefunden o.O

20.11.2006, 15:57

Sabina

Ehrenmitglied

Beiträge: 29434

#16 nun schau noch, was der kaspersky findet - aber ich denke, wenn du noch die Systemwiederherstellung deaktivierst (dann wieder aktivieren) - sollte wieder alles i.o. sein

__________
MfG Sabina

rund um die PC-Sicherheit

17.03.2007, 18:33

Gismon

...neu hier

Beiträge: 2

#17 Ich habe auch diesen Virus TR/RKit.Nuclear.0.A
Logfile of HijackThis v1.99.1
Scan saved at 18:24:53, on 17.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SAgent4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Chris\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP00560 Class - {424A466C-72E5-443e-BEA8-B372B28F395F} - C:\PROGRA~1\ONLINE~1\ONLINE~1.DLL (file missing)
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {94A1431F-C1F3-4B04-9920-7752DECB82B3} - C:\WINDOWS\system32\ils32.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Programme\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [rooty] C:\WINDOWS\rooty.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S9E.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PSPVideo9] C:\Programme\pspvideo9\pspVideo9.exe -t
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOKUME~1\Chris\LOKALE~1\Temp\E_S34.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Programme\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)
O9 - Extra 'Tools' menuitem: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Programme\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: pushow63.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe

Dieser Beitrag wurde am 17.03.2007 um 21:22 Uhr von Gismon editiert.

17.03.2007, 19:52

Sabina

Ehrenmitglied

Beiträge: 29434

#18 Gismon

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

»»
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

------------------------------------------------------------------------

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

PnkBstrA

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

PnkBstrB

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{94A1431F-C1F3-4B04-9920-7752DECB82B3}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

ils32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

«
__________
MfG Sabina

rund um die PC-Sicherheit

17.03.2007, 21:15

Gismon

...neu hier

Beiträge: 2

#19 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98F7-F89F

Verzeichnis von C:\WINDOWS\system32

17.03.2007 20:55 2.206 wpa.dbl
16.03.2007 21:59 99.904 PnkBstrB.exe
12.03.2007 20:48 63.040 PnkBstrA.exe
09.03.2007 18:04 9.857 jupdate-1.5.0_11-b03.log
07.03.2007 21:36 12.619.736 MRT.exe
27.02.2007 16:13 185.952 rmoc3260.dll
27.02.2007 16:13 5.632 pndx5032.dll
27.02.2007 16:13 6.656 pndx5016.dll
27.02.2007 16:13 278.528 pncrt.dll
16.02.2007 13:59 122.142 TZLog.log
10.02.2007 15:33 98.304 CmdLineExt.dll
29.01.2007 09:58 60.416 tzchange.exe
27.01.2007 20:15 21.840 SIntfNT.dll
27.01.2007 20:15 17.212 SIntf32.dll
27.01.2007 20:15 12.067 SIntf16.dll
23.01.2007 20:30 546.304 hhctrl.ocx
19.01.2007 09:39 156.360 FNTCACHE.DAT
19.01.2007 09:36 4.212 zllictbl.dat
12.01.2007 09:27 477.696 mshtmled.dll
12.01.2007 09:27 458.752 msfeeds.dll
12.01.2007 09:27 6.054.400 ieframe.dll
12.01.2007 09:27 232.960 webcheck.dll
12.01.2007 09:27 1.149.952 urlmon.dll
12.01.2007 09:27 51.712 msfeedsbs.dll
12.01.2007 09:27 3.580.416 mshtml.dll
12.01.2007 09:27 132.608 extmgr.dll
12.01.2007 09:27 27.136 jsproxy.dll
12.01.2007 09:27 822.784 wininet.dll
12.01.2007 09:27 670.720 mstime.dll
10.01.2007 17:42 1.040.384 ieframe.dll.mui
10.01.2007 17:33 512.000 PLAYSTATION 3 03.scr
08.01.2007 19:04 105.984 url.dll
08.01.2007 19:04 102.400 occache.dll
08.01.2007 19:03 193.024 msrating.dll
08.01.2007 19:02 1.823.744 inetcpl.cpl
08.01.2007 19:02 266.752 iertutil.dll
08.01.2007 19:02 44.544 iernonce.dll
08.01.2007 19:02 230.400 ieaksie.dll
08.01.2007 19:02 161.792 ieakui.dll
08.01.2007 19:02 384.000 iedkcs32.dll
08.01.2007 19:02 383.488 ieapfltr.dll
08.01.2007 19:02 153.088 ieakeng.dll
08.01.2007 19:01 17.408 corpol.dll
08.01.2007 19:00 124.928 advpack.dll
08.01.2007 18:08 56.832 ie4uinit.exe
08.01.2007 18:08 13.824 ieudinit.exe
07.01.2007 17:18 9.132 jupdate-1.5.0_10-b03.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98F7-F89F

Verzeichnis von C:\DOKUME~1\Chris\LOKALE~1\Temp

17.03.2007 21:00 173 jusched.log
17.03.2007 20:56 512 ~DF3C81.tmp
17.03.2007 20:56 16.384 ~DF3C74.tmp
17.03.2007 20:55 16.384 Perflib_Perfdata_fcc.dat
17.03.2007 20:55 16.384 Perflib_Perfdata_508.dat
17.03.2007 20:55 16.384 Perflib_Perfdata_b9c.dat
17.03.2007 20:55 131.072 ~DF1B48.tmp
17.03.2007 20:44 16.384 ~DFB0B6.tmp
17.03.2007 20:44 16.384 ~DF5A9E.tmp
17.03.2007 20:43 131.072 ~DF9A46.tmp
10 Datei(en) 361.133 Bytes
0 Verzeichnis(se), 86.638.874.624 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98F7-F89F

Verzeichnis von C:\WINDOWS

17.03.2007 20:43 1.905 diagwrn.xml
17.03.2007 20:43 1.905 diagerr.xml
17.03.2007 20:43 1.095 setupact.log
17.03.2007 20:43 0 setuperr.log
17.03.2007 20:42 0 0.log
17.03.2007 20:42 159 wiadebug.log
17.03.2007 20:42 1.627.263 WindowsUpdate.log
17.03.2007 20:42 50 wiaservc.log
17.03.2007 20:41 2.048 bootstat.dat
17.03.2007 13:27 54.156 QTFont.qfn
16.03.2007 19:15 32.378 SchedLgU.Txt
15.03.2007 20:58 1.374 imsins.BAK
15.03.2007 19:47 117 cdplayer.ini
13.03.2007 20:00 229 NeroDigital.ini
10.03.2007 18:06 1.409 QTFont.for
24.02.2007 18:33 0 MSDraw.ini
18.02.2007 10:28 1.536.000 offlog.txt
11.02.2007 17:19 720.896 iun6002ev.exe
08.02.2007 15:22 190.463 Kino Mogul Demo Uninstaller.exe
06.02.2007 18:35 754 WORDPAD.INI
27.01.2007 23:44 395 SIERRA.INI
18.01.2007 23:07 299 wininit.ini
07.01.2007 02:13 10 popcinfo.dat
04.01.2007 01:49 9.292 super.chm

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98F7-F89F

Verzeichnis von C:\WINDOWS\Temp

17.03.2007 20:55 409 WGANotify.settings
17.03.2007 20:55 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 86.638.415.872 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98F7-F89F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 16:44 367 LegitCheckControl.inf
09.11.2006 14:36 5.019 swflash.inf
12.10.2006 04:07 896 jinstall-1_5_0_09.inf
20.05.2006 10:45 393.216 DownloadManagerV2.ocx
28.04.2006 08:59 251 DownloadManagerV2.inf
20.08.2005 01:56 65 desktop.ini
10.06.2005 11:44 417.792 isusweb.dll
29.04.2005 16:24 155.648 zylomgamesplayer.dll
25.03.2005 16:17 244 ZylomGamesPlayer.inf
25.07.2002 19:13 24.576 dwusplay.dll
25.07.2002 19:13 196.608 dwusplay.exe
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
12 Datei(en) 1.195.844 Bytes
0 Verzeichnis(se), 86.638.219.264 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98F7-F89F

Verzeichnis von C:\

17.03.2007 21:02 0 sys.txt
17.03.2007 21:02 917 down.txt
17.03.2007 21:01 334 tmp.txt
17.03.2007 21:01 7.035 system.txt
17.03.2007 21:00 772 systemtemp.txt
17.03.2007 20:59 112.210 system32.txt
17.03.2007 20:41 1.071.812.608 hiberfil.sys
17.03.2007 20:41 1.610.612.736 pagefile.sys
26.02.2007 15:20 4.128 INFCACHE.1
18.01.2007 22:43 353 boot.ini
15.12.2006 19:24 268 sqmdata19.sqm
15.12.2006 19:24 244 sqmnoopt00.sqm
15.12.2006 16:09 268 sqmdata00.sqm
15.12.2006 16:09 244 sqmnoopt19.sqm
14.12.2006 19:27 268 sqmdata18.sqm
14.12.2006 19:27 244 sqmnoopt18.sqm
14.12.2006 14:27 268 sqmdata17.sqm
14.12.2006 14:27 244 sqmnoopt17.sqm
13.12.2006 22:10 268 sqmdata16.sqm
13.12.2006 22:10 244 sqmnoopt16.sqm
13.12.2006 15:14 268 sqmdata15.sqm
13.12.2006 15:14 244 sqmnoopt15.sqm
13.12.2006 15:06 268 sqmdata14.sqm
13.12.2006 15:06 244 sqmnoopt14.sqm
13.12.2006 14:50 268 sqmdata13.sqm
13.12.2006 14:50 244 sqmnoopt13.sqm
12.12.2006 15:30 268 sqmdata12.sqm
12.12.2006 15:30 244 sqmnoopt12.sqm
11.12.2006 20:42 268 sqmdata11.sqm
11.12.2006 20:42 244 sqmnoopt11.sqm
10.12.2006 12:35 268 sqmdata10.sqm
10.12.2006 12:35 244 sqmnoopt10.sqm
09.12.2006 19:37 268 sqmdata09.sqm
09.12.2006 19:37 244 sqmnoopt09.sqm
09.12.2006 19:35 268 sqmdata08.sqm
09.12.2006 19:35 244 sqmnoopt08.sqm
09.12.2006 14:48 268 sqmdata07.sqm
09.12.2006 14:48 244 sqmnoopt07.sqm
09.12.2006 11:33 268 sqmdata06.sqm
09.12.2006 11:33 244 sqmnoopt06.sqm
08.12.2006 21:47 268 sqmdata05.sqm
08.12.2006 21:47 244 sqmnoopt05.sqm
08.12.2006 13:45 268 sqmdata04.sqm
08.12.2006 13:45 244 sqmnoopt04.sqm
07.12.2006 15:54 268 sqmdata03.sqm
07.12.2006 15:54 244 sqmnoopt03.sqm
07.12.2006 10:05 268 sqmdata02.sqm
07.12.2006 10:05 244 sqmnoopt02.sqm
07.12.2006 00:54 268 sqmdata01.sqm
07.12.2006 00:54 244 sqmnoopt01.sqm
04.11.2006 12:36 353 Boot.BAK
30.08.2006 10:38 435.752 bootmgr
08.02.2006 20:10 4.796 dell.sdr
20.08.2005 01:58 0 IO.SYS
20.08.2005 01:58 0 CONFIG.SYS
20.08.2005 01:58 0 AUTOEXEC.BAT
20.08.2005 01:58 0 MSDOS.SYS
10.08.2004 15:00 251.184 ntldr
10.08.2004 15:00 47.564 NTDETECT.COM
10.08.2004 15:00 4.952 bootfont.bin
60 Datei(en) 2.683.305.934 Bytes
0 Verzeichnis(se), 86.638.088.192 Bytes frei

Combofix geht nicht

und regsearch immer (keine Rückmeldung) beim suchen

18.03.2007, 12:21

Sabina

Ehrenmitglied

Beiträge: 29434

#20 Gismon

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O2 - BHO: XBTP00560 Class - {424A466C-72E5-443e-BEA8-B372B28F395F} - C:\PROGRA~1\ONLINE~1\ONLINE~1.DLL (file missing)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll

O2 - BHO: (no name) - {94A1431F-C1F3-4B04-9920-7752DECB82B3} - C:\WINDOWS\system32\ils32.dll

O3 - Toolbar: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Programme\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll

O4 - HKLM\..\Run: [rooty] C:\WINDOWS\rooty.exe

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\svchost.exe

O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\svchost.exe

O20 - AppInit_DLLs: pushow63.dll

Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{94A1431F-C1F3-4B04-9920-7752DECB82B3}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94A1431F-C1F3-4B04-9920-7752DECB82B3}

Files to delete:
C:\WINDOWS\system32\pushow63.dll
C:\WINDOWS\system32\ils32.dll
C:\WINDOWS\svchost.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

-----------

«
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

27.03.2007, 14:01

Zeronix

...neu hier

Beiträge: 1

#21 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 27.03.2007 13:53:33 for strings:
; 'scvhost.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{B90A82D4-F400-B0F2-CE0C-E5830BE08CA5}]
"StubPath"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\WINDOWS\\scvhost.exe"
"Windows Update"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"AntiVir"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Update"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Windows Update"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
"Windows Update"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe scvhost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\scvhost.exe"="scvhost"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="C:\\WINDOWS\\scvhost.exe"

; End Of The Log...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04D8-3F22

Verzeichnis von C:\WINDOWS\system32

27.03.2007 14:08 13.646 wpa.dbl
27.03.2007 14:08 54.112 vsconfig.xml
27.03.2007 13:50 392.432 perfh009.dat
27.03.2007 13:50 58.732 perfc009.dat
27.03.2007 13:50 405.448 perfh007.dat
27.03.2007 13:50 70.778 perfc007.dat
27.03.2007 13:50 938.224 PerfStringBackup.INI
23.03.2007 22:12 184.320 miccyhook.dll
22.03.2007 08:37 104.624 FNTCACHE.DAT
20.03.2007 21:32 98.304 CmdLineExt.dll
07.03.2007 22:36 12.619.736 MRT.exe
27.02.2007 16:44 2.560 BitCometRes.dll
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
15.02.2007 16:25 122.142 TZLog.log
03.02.2007 09:46 4.212 zllictbl.dat
01.02.2007 18:13 9.132 jupdate-1.5.0_10-b03.log
30.01.2007 15:26 86.016 HDX4FlashDemuxer.ax
29.01.2007 16:29 34.064 lhacm.acm
29.01.2007 16:03 552 d3d8caps.dat
29.01.2007 15:59 23.392 nscompat.tlb
29.01.2007 15:59 16.832 amcompat.tlb
29.01.2007 15:54 13.646 wpa.bak
29.01.2007 10:58 60.416 tzchange.exe
28.01.2007 18:25 261 $winnt$.inf
28.01.2007 18:23 2.951 CONFIG.NT
28.01.2007 18:21 488 logonui.exe.manifest
28.01.2007 18:21 488 WindowsLogon.manifest
28.01.2007 18:21 749 wuaucpl.cpl.manifest
28.01.2007 18:21 749 cdplayer.exe.manifest
28.01.2007 18:21 749 nwc.cpl.manifest
28.01.2007 18:21 749 ncpa.cpl.manifest
28.01.2007 18:21 749 sapi.cpl.manifest
28.01.2007 18:19 21.740 emptyregdb.dat
28.01.2007 18:16 0 h323log.txt
25.01.2007 14:52 617.472 urlmon.dll
23.01.2007 21:30 546.304 hhctrl.ocx
04.01.2007 15:41 664.576 wininet.dll
04.01.2007 15:41 474.624 shlwapi.dll
04.01.2007 15:41 1.494.528 shdocvw.dll

edit (Sabina)

Dieser Beitrag wurde am 27.03.2007 um 14:20 Uhr von Zeronix editiert.

27.03.2007, 17:01

Sabina

Ehrenmitglied

Beiträge: 29434

#22 Zeronix

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2