Home » Viren, Trojaner & Malware Forum » Safety Alerter 2006 » Themenansicht

Safety Alerter 2006
#0
19.11.2006, 16:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Alerter 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alerter 2006

Folders to delete:
C:\Programme\Safety Alerter 2006
klicke die gruene Ampel und poste das log vom avenger nach neustart
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2006, 16:21
bierlauf03
Member

Themenstarter

Beiträge: 11
#17 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\grxkcvob

*******************

Script file located at: \??\C:\WINDOWS\pcnwgohi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Folder C:\Programme\Safety Alerter 2006 not found!
Deletion of folder C:\Programme\Safety Alerter 2006 failed!

Could not process line:
C:\Programme\Safety Alerter 2006
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Safety Alerter 2006 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alerter 2006 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
19.11.2006, 16:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 wahrscheinlich hast du das programm doch irgendwie rausbekommen ....
oder findest du es noch ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2006, 16:34
bierlauf03
Member

Themenstarter

Beiträge: 11
#19 Ne jetzt ist es auch aus der Saoftwareliste verschwunden. Hoffe damit ist dann alles wieder in Ordnung!

Dank dir erstmal für deine fachkundige Hilfe. Da hätte ich sonst ja noch Jahre dran rumprobieren können und hätte es doch nicht hinbekommen.
Hast du denn noch einen Tip wie ich so etwas in Zukunft vermeiden kann?
Seitenanfang Seitenende
19.11.2006, 16:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 um dir die Frage beantworten zu koennen, muss du mit sagen, wo/wie du dir das eingefangen hast ... Link ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2006, 16:56
bierlauf03
Member

Themenstarter

Beiträge: 11
#21 Îch weiss es nicht genau. Habe mal eine angebliche erweiterung für den Media Player heruntergeladen "IVIDEOCODEC". Das hab ich irgendwie allein wgbekommen. Der Rest kam von allein. Glaub ich zumindest :-)
Seitenanfang Seitenende
19.11.2006, 17:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ja, das dachte ich mir ;) - also: in Zukunft bei Codecs vorsichtiger sein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2006, 19:56
alain_b
...neu hier

Beiträge: 5
#23 Guten Abend Sabina, ich habe das selbe Problem wie bierlauf03, jedoch konnte ich dem Verlauf nicht ganz folgen, meine Logs sehen so aus nachdem ich SmitfraudFix durchlaufen gelassen hab:

SmitFraudFix v2.125

Scan done at 19:49:23.75, 28.11.2006
Run from C:\Dokumente und Einstellungen\Alain Burkhalter\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{588599f4-de26-4c28-ba14-f4eb17e33481}"="emptins"

[HKEY_CLASSES_ROOT\CLSID\{588599f4-de26-4c28-ba14-f4eb17e33481}\InProcServer32]
@="C:\WINDOWS\system32\xxfgmy.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{588599f4-de26-4c28-ba14-f4eb17e33481}\InProcServer32]
@="C:\WINDOWS\system32\xxfgmy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\regperf.exe Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\Media-Codec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Ist es das selbe Problem wie bei bierlauf03 ? Und wenn, was genau müsste ich dann bei Avenger in die oberste Zeile kopieren ?

Ich danke bereits im Vorraus
Gruss Alain
Seitenanfang Seitenende
28.11.2006, 23:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 alain_b

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
poste das log vom hijackthis
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 07:45
alain_b
...neu hier

Beiträge: 5
#25 1.

Alain Burkhalter - 06-11-29 7:40:08.90 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Alain Burkhalter"

((((((((((((((((((((((((((((((( Files Created from 2006-10-29 to 2006-11-29 ))))))))))))))))))))))))))))))))))


2006-11-28 19:48 2,874 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-28 18:43 <DIR> d-------- C:\Avenger
2006-11-28 17:06 <DIR> d-------- C:\Programme\Brain Codec
2006-11-27 12:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2006-11-27 12:14 <DIR> d-------- C:\Programme\backburner 2
2006-11-27 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2006-11-27 12:14 <DIR> d-------- C:\3dsmax7
2006-11-23 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\WoW-1.12.x-to-2.0.1-deDE-patch
2006-11-06 20:25 <DIR> d-------- C:\Programme\iTunes
2006-11-06 20:25 <DIR> d-------- C:\Programme\iPod
2006-11-06 20:24 <DIR> d-------- C:\Programme\QuickTime


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-29 07:39 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-27 18:11 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\teamspeak2
2006-11-27 12:14 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-23 13:50 -------- d-------- C:\Programme\World of Warcraft
2006-11-16 08:45 -------- d-------- C:\Programme\Internet Explorer
2006-11-11 12:48 -------- d-------- C:\Programme\Java
2006-11-07 16:19 23640 --a------ C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-23 16:36 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Ahead
2006-10-23 15:43 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Nero
2006-10-22 19:16 -------- d-------- C:\Programme\WinRAR
2006-10-22 19:16 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Help
2006-10-21 20:50 -------- d-------- C:\Programme\Apple Software Update
2006-10-18 17:12 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Opera
2006-10-16 19:05 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\DivX
2006-10-16 17:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-10-15 15:51 -------- d-------- C:\Programme\ratDVD
2006-10-15 15:47 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\CDZilla
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-09 17:21 -------- d---s---- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Microsoft
2006-10-09 17:21 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Ventrilo
2006-10-09 17:19 -------- d-------- C:\Programme\Ventrilo
2006-10-09 17:19 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-08 14:30 -------- d-------- C:\Programme\BitTorrent
2006-10-08 14:30 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\BitTorrent
2006-10-08 14:27 -------- d-------- C:\Programme\Maketorrent 2
2006-10-04 08:40 -------- d-------- C:\Programme\DivX
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-10-02 20:04 790528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-10-02 20:04 635486 --a------ C:\WINDOWS\system32\DivX.dll
2006-10-01 11:32 0 --a------ C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\AVSDVDPlayer.m3u
2006-10-01 09:48 33824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-10-01 09:47 -------- d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2006-10-01 09:47 -------- d-------- C:\Programme\AVSMedia
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"BLASC"="\"C:\\Programme\\World of Warcraft\\BLASC\\BLASC.exe\""
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"BitTorrent"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"McafWelcome"="C:\\Programme\\McAfee.com\\Agent\\mcwelcom.exe"
"VSOCheckTask"="\"C:\\PROGRA~1\\McAfee.com\\VSO\\mcmnhdlr.exe\" /checktask"
"VirusScan Online"="C:\\Programme\\McAfee.com\\VSO\\mcvsshld.exe"



2. Ist dies nicht genau das selbe ?!

Alain Burkhalter - 06-11-29 7:43:51.14 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Alain Burkhalter\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-29 to 2006-11-29 ))))))))))))))))))))))))))))))))))


2006-11-28 19:48 2,874 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-28 18:43 <DIR> d-------- C:\Avenger
2006-11-28 17:06 <DIR> d-------- C:\Programme\Brain Codec
2006-11-27 12:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2006-11-27 12:14 <DIR> d-------- C:\Programme\backburner 2
2006-11-27 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2006-11-27 12:14 <DIR> d-------- C:\3dsmax7
2006-11-23 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\WoW-1.12.x-to-2.0.1-deDE-patch
2006-11-06 20:25 <DIR> d-------- C:\Programme\iTunes
2006-11-06 20:25 <DIR> d-------- C:\Programme\iPod
2006-11-06 20:24 <DIR> d-------- C:\Programme\QuickTime


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-29 07:39 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-27 18:11 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\teamspeak2
2006-11-27 12:14 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-23 13:50 -------- d-------- C:\Programme\World of Warcraft
2006-11-16 08:45 -------- d-------- C:\Programme\Internet Explorer
2006-11-11 12:48 -------- d-------- C:\Programme\Java
2006-11-07 16:19 23640 --a------ C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-23 16:36 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Ahead
2006-10-23 15:43 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Nero
2006-10-22 19:16 -------- d-------- C:\Programme\WinRAR
2006-10-22 19:16 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Help
2006-10-21 20:50 -------- d-------- C:\Programme\Apple Software Update
2006-10-18 17:12 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Opera
2006-10-16 19:05 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\DivX
2006-10-16 17:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-10-15 15:51 -------- d-------- C:\Programme\ratDVD
2006-10-15 15:47 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\CDZilla
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-09 17:21 -------- d---s---- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Microsoft
2006-10-09 17:21 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\Ventrilo
2006-10-09 17:19 -------- d-------- C:\Programme\Ventrilo
2006-10-09 17:19 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-08 14:30 -------- d-------- C:\Programme\BitTorrent
2006-10-08 14:30 -------- d-------- C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\BitTorrent
2006-10-08 14:27 -------- d-------- C:\Programme\Maketorrent 2
2006-10-04 08:40 -------- d-------- C:\Programme\DivX
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-10-02 20:04 790528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-10-02 20:04 635486 --a------ C:\WINDOWS\system32\DivX.dll
2006-10-01 11:32 0 --a------ C:\Dokumente und Einstellungen\Alain Burkhalter\Anwendungsdaten\AVSDVDPlayer.m3u
2006-10-01 09:48 33824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-10-01 09:47 -------- d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2006-10-01 09:47 -------- d-------- C:\Programme\AVSMedia
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"BLASC"="\"C:\\Programme\\World of Warcraft\\BLASC\\BLASC.exe\""
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"BitTorrent"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"McafWelcome"="C:\\Programme\\McAfee.com\\Agent\\mcwelcom.exe"
"VSOCheckTask"="\"C:\\PROGRA~1\\McAfee.com\\VSO\\mcmnhdlr.exe\" /checktask"
"VirusScan Online"="C:\\Programme\\McAfee.com\\VSO\\mcvsshld.exe"
"MCAgentExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"
"MCUpdateExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"
"MPFExe"="C:\\PROGRA~1\\McAfee.com\\PERSON~1\\MpfTray.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"OASClnt"="C:\\Programme\\McAfee.com\\VSO\\oasclnt.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Brain Codec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Brain Codec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\McAfee.com - Virenscan - Mein Computer (ARMIN-Alain Burkhalter).job

Completion time: 06-11-29 7:44:23.21
C:\ComboFix.txt ... 06-11-29 07:44
C:\ComboFix2.txt ... 06-11-29 07:41
Seitenanfang Seitenende
29.11.2006, 11:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 alain_b

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Brain Codec

in edit und klicke "Ok".
Notepad wird sich öffnen

-------------
2.
poste das log vom HijackThis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 12:00
alain_b
...neu hier

Beiträge: 5
#27 So das Ergab der Registry Search:

1.
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 29.11.2006 11:57:14 for strings:
; 'brain codec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}\InprocServer32]
@="C:\\Programme\\Brain Codec\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Brain Codec]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Brain Codec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Brain Codec\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Brain Codec]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Brain Codec]
"DisplayName"="Brain Codec 3.0"
"UninstallString"="C:\\Programme\\Brain Codec\\uninst.exe"
"DisplayIcon"="C:\\Programme\\Brain Codec\\uninst.exe"
"Publisher"="Brain Codec Software"

[HKEY_USERS\S-1-5-21-57989841-583907252-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Brain Codec\\pmsngr.exe"="pmsngr"
"C:\\Programme\\Brain Codec\\isamonitor.exe"="isamonitor"

; End Of The Log...


Und das der Hijackthis:

2.
Logfile of HijackThis v1.99.1
Scan saved at 11:59:33, on 29.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Brain Codec\isamonitor.exe
C:\Programme\Brain Codec\pmsngr.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Brain Codec\pmmon.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Brain Codec\isamini.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Alain Burkhalter\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.das-letzte-buendnis.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Brain Codec\isaddon.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [McafWelcome] C:\Programme\McAfee.com\Agent\mcwelcom.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BLASC] "C:\Programme\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: iTunes.lnk = C:\Programme\iTunes\iTunes.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
Seitenanfang Seitenende
29.11.2006, 12:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 alain_b

arbeite das Avengerscript von dieser seite ab

braincodec
http://virus-protect.org/artikel/spyware/braincodec_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 18:20
alain_b
...neu hier

Beiträge: 5
#29 Das löschen funktioniert leider nicht, wenn ich

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|emptins
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{588599f4-de26-4c28-ba14-f4eb17e33481}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|expatriates
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{1a01a98c-4f25-42e1-971a-185cf63569b2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
In die Zeile "Load Script from file" einfüge, kommt der Fehler das sich der Pfad nicht öffnen lässt und man sicherstellen soll das der Pfadname gültig ist und die File exsistiert
Seitenanfang Seitenende
29.11.2006, 21:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 alain_b

Input script manually (anhaken)



die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

Beispiel


kopiere rein: ..ohne "Zitat"

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|emptins
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{588599f4-de26-4c28-ba14-f4eb17e33481}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|expatriates
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{1a01a98c-4f25-42e1-971a-185cf63569b2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{588599f4-de26-4c28-ba14-f4eb17e33481}
HKLM\SOFTWARE\Classes\CLSID\{1a01a98c-4f25-42e1-971a-185cf63569b2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Brain Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Brain Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200}

Files to delete:
C:\WINDOWS\system32\xxfgmy.dll
C:\WINDOWS\system32\tpedvf.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\Programme\Brain Codec
C:\Programme\Media-Codec
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123