Mal wieder ein Virus Bursters - bitte um Unterstützung

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.11.2006, 23:46
...neu hier

Beiträge: 5
#1 Hallo,

habe mir den Virus Bursters eingefangen. Kann mir bitte jemand helfen.

Eugen - 06-11-28 23:15:55,01 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Eugen\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\ixt0.dll
C:\Programme\Inetget2
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{3048BB67-08A3-1031-1021-050620050031}
C:\Programme\Ipwins
C:\Programme\Gemeinsame Dateien\{9048BB67-08A3-1031-1021-050620050031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Eugen\Anwendungsdaten\YSTEM3~1
C:\QooBox\Purity\Dokumente und Einstellungen\Eugen\Anwendungsdaten\YSTEM3~1\w?auboot.exe
C:\QooBox\Purity\WINDOWS\SMANTE~1
C:\QooBox\Purity\WINDOWS\SMANTE~1\regsvr32.exe
C:\QooBox\Purity\WINDOWS\SMANTE~1\S?mantec


((((((((((((((((((((((((((((((( Files Created from 2006-10-28 to 2006-11-28 ))))))))))))))))))))))))))))))))))


2006-11-28 22:11 88,340 --a------ C:\WINDOWS\system32\agvrvwsm.exe
2006-11-28 22:11 77,824 --a------ C:\WINDOWS\system32\tpedvf.dll
2006-11-28 22:11 704,564 ---hs---- C:\WINDOWS\system32\pmkjg.dll
2006-11-28 22:11 592,843 ---hs---- C:\WINDOWS\system32\gjkmp.bak1
2006-11-28 22:11 42,516 --a------ C:\WINDOWS\system32\wfcxgyjm.dll
2006-11-28 22:11 126,996 --a------ C:\WINDOWS\system32\fyfyxgmx.dll
2006-11-28 22:11 <DIR> d-------- C:\Programme\VSAdd-in
2006-11-28 22:11 <DIR> d-------- C:\Programme\Virus-Bursters
2006-11-28 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\SearchToolbarCorp
2006-11-28 22:08 64,728 --a------ C:\WINDOWS\system32\ipv6monl.dll
2006-11-28 22:08 3,584 --a------ C:\WINDOWS\system32\msasvc.exe
2006-11-28 22:08 104,152 --a------ C:\ofulf.exe
2006-11-28 22:08 1,941 --a------ C:\cgcy.exe
2006-11-28 22:08 1,024 --a------ C:\onpsvun.exe
2006-11-28 22:08 1,024 --a------ C:\kxvoir.exe
2006-11-28 22:08 1,024 --a------ C:\hcnhsv.exe
2006-11-28 22:08 1,024 --a------ C:\exqh.exe
2006-11-28 22:06 71,168 --a------ C:\WINDOWS\system32\drvtop.dll
2006-11-28 22:06 2 --a------ C:\WINDOWS\system32\wapiit.exe
2006-11-28 22:06 131,072 --a------ C:\WINDOWS\system32\nnvqxvnm.dll
2006-11-28 22:05 40,973 ---hs---- C:\WINDOWS\system32\khfeffc.dll
2006-11-28 22:05 17,408 --a------ C:\WINDOWS\system32\winmmt32.dll
2006-11-28 21:56 <DIR> d-------- C:\Programme\Xilisoft
2006-11-22 09:54 <DIR> d-------- C:\Programme\Electric Rain
2006-11-10 00:15 <DIR> d-------- C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Help


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-11-28 23:17 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-28 23:02 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-28 00:25 -------- d-------- C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Azureus
2006-11-15 20:46 -------- d-------- C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Mozilla
2006-11-10 00:15 -------- d-------- C:\Programme\WinRAR
2006-11-08 09:08 -------- d-------- C:\Programme\audiograbber


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Eedd"="\"C:\\WINDOWS\\SMANTE~1\\regsvr32.exe\" -vt yazb"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"CTDrive"="rundll32.exe C:\\WINDOWS\\system32\\drvtop.dll,startup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,8c,04,00,00,de,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,8c,04,00,00,de,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{1a01a98c-4f25-42e1-971a-185cf63569b2}"="expatriates"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"expatriates"="{1a01a98c-4f25-42e1-971a-185cf63569b2}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Quctq]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="w?auboot"
"hkey"="HKCU"
"command"="C:\\Dokumente und Einstellungen\\Eugen\\Anwendungsdaten\\?ystem32\\w?auboot.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Virus-Bursters]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="virus-bursters"
"hkey"="HKLM"
"command"="C:\\Programme\\Virus-Bursters\\virus-bursters.exe /h"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\shutdown.job

Completion time: 06-11-28 23:17:40.89
C:\ComboFix.txt ... 06-11-28 23:17
Seitenanfang Seitenende
29.11.2006, 01:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 19:40
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo,

hier die logs von datFind.bat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS\system32

29.11.2006 19:37 611.420 gjkmp.ini
29.11.2006 19:36 29.204 nvapps.xml
28.11.2006 22:11 13.002 wpa.dbl
28.11.2006 22:11 126.996 fyfyxgmx.dll
28.11.2006 22:11 88.340 agvrvwsm.exe
28.11.2006 22:11 77.824 tpedvf.dll
28.11.2006 22:11 4.286 ts.ico
28.11.2006 22:11 4.286 ot.ico
28.11.2006 22:11 42.516 wfcxgyjm.dll
28.11.2006 22:11 592.843 gjkmp.bak1
28.11.2006 22:11 704.564 pmkjg.dll
28.11.2006 22:08 64.728 ipv6monl.dll
28.11.2006 22:08 3.584 msasvc.exe
28.11.2006 22:06 2 wapiit.exe
28.11.2006 22:06 71.168 drvtop.dll
28.11.2006 22:05 40.973 khfeffc.dll
28.11.2006 22:05 17.408 winmmt32.dll
14.11.2006 19:25 659.768 FNTCACHE.DAT
29.10.2006 10:08 311.604 perfh009.dat
29.10.2006 10:08 316.594 perfh007.dat
29.10.2006 10:08 39.992 perfc009.dat
29.10.2006 10:08 48.156 perfc007.dat
29.10.2006 10:08 723.744 PerfStringBackup.INI
25.10.2006 14:22 131.072 nnvqxvnm.dll
29.05.2006 11:07 251 spupdwxp.log

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\DOKUME~1\Eugen\LOKALE~1\Temp

29.11.2006 19:36 0 $b17a2e8.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 36.303.147.008 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS

29.11.2006 19:34 280 exe123.exe;
29.11.2006 19:10 0 0.log
29.11.2006 19:10 1.225.412 WindowsUpdate.log
29.11.2006 19:09 2.048 bootstat.dat
29.11.2006 00:00 32.576 SchedLgU.Txt
28.11.2006 22:29 199.558 ntbtlog.txt
28.11.2006 22:13 615 win.ini
28.11.2006 22:13 227 system.ini
28.11.2006 21:22 192 winamp.ini
28.11.2006 20:54 411 wiadebug.log
28.11.2006 20:13 374 wincmd.ini
28.11.2006 20:09 1.026 wcx_ftp.ini
28.11.2006 19:26 50 wiaservc.log
25.11.2006 20:53 1.276 cdplayer.ini
15.11.2006 20:52 4.267 mozver.dat
15.11.2006 20:46 0 nsreg.dat
13.11.2006 09:51 218.484 ATMREG.ATM
04.11.2006 06:19 17.578 wmsetup.log
14.10.2006 10:57 800.109 setupapi.log
29.05.2006 11:08 28.950 spupdsvc.log

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS\Temp

29.11.2006 19:39 8 $_2341235.TMP
29.11.2006 19:37 0 win26.tmp
29.11.2006 19:36 29.118 $_2341234.TMP
29.11.2006 19:10 1.228 $_2341233.TMP
4 Datei(en) 30.354 Bytes
0 Verzeichnis(se), 36.302.745.600 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.04.2006 00:51 65 desktop.ini
11.08.2004 01:22 3.036 wmv9dmo.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
3 Datei(en) 4.790 Bytes
0 Verzeichnis(se), 36.302.745.600 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\

29.11.2006 19:40 0 sys.txt
29.11.2006 19:40 387 down.txt
29.11.2006 19:40 420 tmp.txt
29.11.2006 19:40 6.559 system.txt
29.11.2006 19:38 286 systemtemp.txt
29.11.2006 19:37 99.294 system32.txt
29.11.2006 19:09 2.145.386.496 pagefile.sys
28.11.2006 23:17 9.351 ComboFix.txt
28.11.2006 22:13 210 boot.ini
28.11.2006 22:08 1.941 cgcy.exe
28.11.2006 22:08 1.024 onpsvun.exe
28.11.2006 22:08 1.024 kxvoir.exe
28.11.2006 22:08 1.024 hcnhsv.exe
28.11.2006 22:08 1.024 exqh.exe
28.11.2006 22:08 104.152 ofulf.exe
28.11.2006 22:08 0 -1874281625
29.05.2006 11:02 47.564 NTDETECT.COM
29.05.2006 11:02 251.184 ntldr
Seitenanfang Seitenende
29.11.2006, 19:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Bronko11

1.
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|expatriates
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{1a01a98c-4f25-42e1-971a-185cf63569b2}

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IpWins
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32
HKLM\SOFTWARE\Classes\CLSID\{1a01a98c-4f25-42e1-971a-185cf63569b2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Quctq
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Classes\CLSID\{74DD705D-6834-439C-A735-A6DBE2677452}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74DD705D-6834-439C-A735-A6DBE2677452}

Files to delete:
C:\WINDOWS\exe123.exe;
C:\WINDOWS\exe123.exe
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Dokumente und Einstellungen\%UserName%\Desktop\Virus-Bursters.lnk
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\VBLanguage.ini
C:\WINDOWS\system32\gjkmp.ini
C:\WINDOWS\system32\fyfyxgmx.dll
C:\WINDOWS\system32\agvrvwsm.exe
C:\WINDOWS\system32\tpedvf.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\wfcxgyjm.dll
C:\WINDOWS\system32\gjkmp.bak1
C:\WINDOWS\system32\pmkjg.dll
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\system32\wapiit.exe
C:\WINDOWS\system32\drvtop.dll
C:\WINDOWS\system32\khfeffc.dll
C:\WINDOWS\system32\nnvqxvnm.dll
C:\WINDOWS\system32\winmmt32.dll
C:\cgcy.exe
C:\onpsvun.exe
C:\kxvoir.exe
C:\hcnhsv.exe
C:\exqh.exe
C:\ofulf.exe
C:\-1874281625
C:\WINDOWS\Temp\$_2341235.TMP
C:\WINDOWS\Temp\win26.tmp
C:\WINDOWS\Temp\$_2341234.TMP
C:\WINDOWS\Temp\$_2341233.TMP

Folders to delete:
C:\Programme\VSAdd-in
C:\Programme\Virus-Bursters
C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\SearchToolbarCorp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp
C:\Dokumente und Einstellungen\%Username%\Startmenü\Virus-Bursters
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
poste das log vom avenger, was nach neustart erscheint

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

»»
scanne und poste den scanreport
http://virus-protect.org/ewido.html

**
poste das log vom HijakTHis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 20:46
...neu hier

Themenstarter

Beiträge: 5
#5 Hallo nochmal,

also hier mal das Log von avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lrybnngr

*******************

Script file located at: \??\C:\yvxnwjub.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\exe123.exe; deleted successfully.


File C:\WINDOWS\exe123.exe not found!
Deletion of file C:\WINDOWS\exe123.exe failed!

Could not process line:
C:\WINDOWS\exe123.exe
Status: 0xc0000034

File C:\Dokumente und Einstellungen\Eugen\Favoriten\Antivirus Test Online.url deleted successfully.


File C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Eugen\Desktop\Virus-Bursters.lnk not found!
Deletion of file C:\Dokumente und Einstellungen\Eugen\Desktop\Virus-Bursters.lnk failed!

Could not process line:
C:\Dokumente und Einstellungen\Eugen\Desktop\Virus-Bursters.lnk
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\VBLanguage.ini not found!
Deletion of file C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\VBLanguage.ini failed!

Could not process line:
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\VBLanguage.ini
Status: 0xc0000034



File C:\WINDOWS\system32\gjkmp.ini not found!
Deletion of file C:\WINDOWS\system32\gjkmp.ini failed!

Could not process line:
C:\WINDOWS\system32\gjkmp.ini
Status: 0xc0000034

File C:\WINDOWS\system32\fyfyxgmx.dll deleted successfully.
File C:\WINDOWS\system32\agvrvwsm.exe deleted successfully.
File C:\WINDOWS\system32\tpedvf.dll deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\wfcxgyjm.dll deleted successfully.


File C:\WINDOWS\system32\gjkmp.bak1 not found!
Deletion of file C:\WINDOWS\system32\gjkmp.bak1 failed!

Could not process line:
C:\WINDOWS\system32\gjkmp.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\pmkjg.dll not found!
Deletion of file C:\WINDOWS\system32\pmkjg.dll failed!

Could not process line:
C:\WINDOWS\system32\pmkjg.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ipv6monl.dll deleted successfully.
File C:\WINDOWS\system32\msasvc.exe deleted successfully.
File C:\WINDOWS\system32\wapiit.exe deleted successfully.
File C:\WINDOWS\system32\drvtop.dll deleted successfully.
File C:\WINDOWS\system32\khfeffc.dll deleted successfully.
File C:\WINDOWS\system32\nnvqxvnm.dll deleted successfully.


File C:\WINDOWS\system32\winmmt32.dll not found!
Deletion of file C:\WINDOWS\system32\winmmt32.dll failed!

Could not process line:
C:\WINDOWS\system32\winmmt32.dll
Status: 0xc0000034

File C:\cgcy.exe deleted successfully.
File C:\onpsvun.exe deleted successfully.
File C:\kxvoir.exe deleted successfully.
File C:\hcnhsv.exe deleted successfully.
File C:\exqh.exe deleted successfully.
File C:\ofulf.exe deleted successfully.
File C:\-1874281625 deleted successfully.
File C:\WINDOWS\Temp\$_2341235.TMP deleted successfully.
File C:\WINDOWS\Temp\win26.tmp deleted successfully.
File C:\WINDOWS\Temp\$_2341234.TMP deleted successfully.
File C:\WINDOWS\Temp\$_2341233.TMP deleted successfully.
Folder C:\Programme\VSAdd-in deleted successfully.
Folder C:\Programme\Virus-Bursters deleted successfully.
Folder C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\SearchToolbarCorp deleted successfully.


Folder C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\~nsu.tmp not found!
Deletion of folder C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\~nsu.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\~nsu.tmp
Status: 0xc0000034



Folder C:\Dokumente und Einstellungen\Eugen\Startmenü\Virus-Bursters not found!
Deletion of folder C:\Dokumente und Einstellungen\Eugen\Startmenü\Virus-Bursters failed!

Could not process line:
C:\Dokumente und Einstellungen\Eugen\Startmenü\Virus-Bursters
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|expatriates deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{1a01a98c-4f25-42e1-971a-185cf63569b2} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IpWins deleted successfully.


Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjg not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjg failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32 failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{1a01a98c-4f25-42e1-971a-185cf63569b2} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Quctq deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\MSSMGR deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{74DD705D-6834-439C-A735-A6DBE2677452} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74DD705D-6834-439C-A735-A6DBE2677452} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


...und hier das Log von ewido:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 20:41:56 29.11.2006

+ Scan-Ergebnis:



HKU\S-1-5-21-1292428093-884357618-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0018977.exe -> Adware.Maxifiles : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019491.dll -> Adware.PurityScan : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0018979.dll -> Adware.Softomate : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0018980.exe -> Adware.Softomate : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0018963.exe -> Downloader.PurityScan.dc : Gesäubert.
C:\QooBox\Purity\WINDOWS\SMANTE~1\regsvr32.exe -> Downloader.PurityScan.dt : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0018961.exe -> Downloader.Zlob.bbf : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0018996.exe -> Dropper.Agent.azn : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019487.dll -> Logger.BZub.naz : Gesäubert.
:mozilla.16:C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Mozilla\Firefox\Profiles\0p88xp70.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.17:C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Mozilla\Firefox\Profiles\0p88xp70.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Mozilla\Firefox\Profiles\0p88xp70.default\cookies.txt -> TrackingCookie.Quarterserver : Gesäubert.
:mozilla.97:C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Phoenix\Profiles\default\nuahbgh5.slt\cookies.txt -> TrackingCookie.Quarterserver : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019451.dll -> Trojan.Mezzia : Gesäubert.
C:\VundoFix Backups\winmmt32.dll.bad -> Trojan.Mezzia : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019484.exe -> Trojan.ProcKill.DJ : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019486.exe -> Trojan.ProcKill.DJ : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019489.exe -> Trojan.ProcKill.DJ : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019493.exe -> Trojan.ProcKill.DJ : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019490.exe -> Trojan.Sinowal.bh : Gesäubert.
C:\System Volume Information\_restore{7551C558-4D9A-4E5A-8BC6-B0F1A383601D}\RP116\A0019504.exe -> Trojan.Small : Gesäubert.


::Berichtende

...und hier noch das Log von hiJack:

Logfile of HijackThis v1.99.1
Scan saved at 20:45:30, on 29.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Webserver\xampp\apache\bin\apache.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
E:\Webserver\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Webserver\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Dokumente und Einstellungen\Eugen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {80980694-EA28-CFF8-2906-BA891F5D63BD} - C:\WINDOWS\system32\nnvqxvnm.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\wfcxgyjm.dll (file missing)
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {80980694-EA28-CFF8-2906-BA891F5D63BD} - C:\WINDOWS\system32\nnvqxvnm.dll (file missing)
O2 - BHO: (no name) - {81368B13-1070-45A5-8DAD-166E0AF953BC} - C:\WINDOWS\system32\pmkjg.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eedd] "C:\WINDOWS\SMANTE~1\regsvr32.exe" -vt yazb
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0490ED9E-38E2-44A4-91A7-86A04B6DEAC2}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0490ED9E-38E2-44A4-91A7-86A04B6DEAC2}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - E:\Webserver\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: mysql - Unknown owner - E:\Webserver\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Hoffe alles ist nun wieder OK.
Seitenanfang Seitenende
29.11.2006, 21:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - {80980694-EA28-CFF8-2906-BA891F5D63BD} - C:\WINDOWS\system32\nnvqxvnm.dll (file missing)

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\wfcxgyjm.dll (file missing)

O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing)

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll (file missing)

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: (no name) - {80980694-EA28-CFF8-2906-BA891F5D63BD} - C:\WINDOWS\system32\nnvqxvnm.dll (file missing)

O2 - BHO: (no name) - {81368B13-1070-45A5-8DAD-166E0AF953BC} - C:\WINDOWS\system32\pmkjg.dll (file missing)

O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file)

O4 - HKCU\..\Run: [Eedd] "C:\WINDOWS\SMANTE~1\regsvr32.exe" -vt yazb
PC neustarten

poste noch mal die 6 logs von datfindbat ;)
+
das neue log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 21:06
...neu hier

Themenstarter

Beiträge: 5
#7 Okay,

also hier nochmal die Logs von datfind.bat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS\system32

29.11.2006 20:48 29.204 nvapps.xml
29.11.2006 20:07 0 tmp.txt
29.11.2006 20:07 1.902 tmp.reg
28.11.2006 22:11 13.002 wpa.dbl
14.11.2006 19:25 659.768 FNTCACHE.DAT
29.10.2006 10:08 311.604 perfh009.dat
29.10.2006 10:08 39.992 perfc009.dat
29.10.2006 10:08 48.156 perfc007.dat
29.10.2006 10:08 316.594 perfh007.dat
29.10.2006 10:08 723.744 PerfStringBackup.INI
29.05.2006 11:07 251 spupdwxp.log
2021 Datei(en) 402.621.176 Bytes
0 Verzeichnis(se), 36.271.738.880 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\DOKUME~1\Eugen\LOKALE~1\Temp

29.11.2006 20:16 16.384 Perflib_Perfdata_3dc.dat
29.11.2006 20:13 204 jusched.log
2 Datei(en) 16.588 Bytes
0 Verzeichnis(se), 36.271.759.360 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS

29.11.2006 20:08 175.491 setupact.log
29.11.2006 20:03 1.229.553 WindowsUpdate.log
29.11.2006 20:03 0 0.log
29.11.2006 20:03 2.048 bootstat.dat
29.11.2006 20:02 32.576 SchedLgU.Txt
28.11.2006 22:29 199.558 ntbtlog.txt
28.11.2006 22:13 615 win.ini
28.11.2006 22:13 227 system.ini
28.11.2006 21:22 192 winamp.ini
28.11.2006 20:54 411 wiadebug.log
28.11.2006 20:13 374 wincmd.ini
28.11.2006 20:09 1.026 wcx_ftp.ini
28.11.2006 19:26 50 wiaservc.log
25.11.2006 20:53 1.276 cdplayer.ini
15.11.2006 20:52 4.267 mozver.dat
15.11.2006 20:46 0 nsreg.dat
13.11.2006 09:51 218.484 ATMREG.ATM
04.11.2006 06:19 17.578 wmsetup.log
14.10.2006 10:57 800.109 setupapi.log
29.05.2006 11:08 28.950 spupdsvc.log
29.05.2006 11:08 360 DtcInstall.log
29.05.2006 11:08 1.510 OEWABLog.txt
29.05.2006 11:08 316.640 WMSysPr9.prx
29.05.2006 11:08 328.221 iis6.log
29.05.2006 11:08 66.359 comsetup.log
29.05.2006 11:08 41.894 ntdtcsetup.log
29.05.2006 11:08 8.688 ocmsn.log
29.05.2006 11:08 1.061 tabletoc.log
29.05.2006 11:08 3.869 imsins.log
29.05.2006 11:08 89.059 tsoc.log
29.05.2006 11:08 9.403 msgsocm.log
29.05.2006 11:08 105.415 ocgen.log
29.05.2006 11:08 3.565 medctroc.Log
29.05.2006 11:08 159.194 FaxSetup.log
29.05.2006 11:08 3.264 netfxocm.log
29.05.2006 11:08 77.650 msmqinst.log
29.05.2006 11:08 777.655 setuplog.txt
29.05.2006 11:06 427.795 svcpack.log
29.05.2006 11:06 1.374 imsins.BAK
29.05.2006 11:04 200 cmsetacl.log
29.05.2006 11:03 1.330 sessmgr.setup.log
28.05.2006 15:35 170 GEARInstall.log
127 Datei(en) 10.258.570 Bytes
0 Verzeichnis(se), 36.271.587.328 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS\Temp

29.11.2006 19:57 0 win63.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 36.271.747.072 Bytes fr

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.04.2006 00:51 65 desktop.ini
11.08.2004 01:22 3.036 wmv9dmo.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
3 Datei(en) 4.790 Bytes
0 Verzeichnis(se), 36.271.751.168 Bytes frei

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 9048-BB67

Verzeichnis von C:\

29.11.2006 21:06 0 sys.txt
29.11.2006 21:06 387 down.txt
29.11.2006 21:06 267 tmp.txt
29.11.2006 21:05 6.510 system.txt
29.11.2006 21:05 347 systemtemp.txt
29.11.2006 21:04 98.613 system32.txt
29.11.2006 20:07 941 rapport.txt
29.11.2006 20:04 14.934 avenger.txt
29.11.2006 20:03 2.145.386.496 pagefile.sys
29.11.2006 20:00 776 VundoFix.txt
28.11.2006 23:17 9.351 ComboFix.txt
28.11.2006 22:13 210 boot.ini
29.05.2006 11:02 47.564 NTDETECT.COM
29.05.2006 11:02 251.184 ntldr
19 Datei(en) 2.145.822.532 Bytes
0 Verzeichnis(se), 36.271.751.168 Bytes frei
Seitenanfang Seitenende
29.11.2006, 21:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
C:\WINDOWS\Temp\win63.tmp - loeschen und alle anderen tmp, die du findest

2.
AVG Anti-Rootkit 1.0.0.13 Beta - scanne
http://www.freewarefiles.com/program_9_90_22524.html

3.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wiederaktivieren)

dann sollte wieder alles i.o. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 21:39
...neu hier

Themenstarter

Beiträge: 5
#9 Vielen Vielen Dank.

Jetzt läuft wieder alles normal ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: