Home » Viren, Trojaner & Malware Forum » Habe ebenfalls Virus-Bursters » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Habe ebenfalls Virus-Bursters

02.12.2006, 14:03

hacko

...neu hier

Beiträge: 5

#1 Hi, Sabina habe mir mal deine Beiträge angeschaut und hoffe die folgenden Logs können dir helfen mein Problem zu analysieren und mir geeignete Tipps zu geben.
(Habe cleanup bereits durchgeführt.)

Logfile of HijackThis v1.99.1
Scan saved at 12:22:50, on 02.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\Dit.exe
C:\Programme\Kaspersky Internet Security 6.0\avp.exe
C:\HP\KBD\KBD.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Familie Appel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\System32\ixt1.dll
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\System32\ixt0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 6.0\avp.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

ComboFix Logfile:

Familie Appel - 06-12-02 12:50:01,89 Service Pack 1
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Familie Appel\Eigene Dateien\Downloads"

((((((((((((((((((((((((((((((( Files Created from 2006-11-02 to 2006-12-02 ))))))))))))))))))))))))))))))))))

2006-12-02 12:29 <DIR> d-------- C:\Programme\CleanUp!
2006-11-29 16:46 77,824 --a------ C:\WINDOWS\system32\dbqlrij.dll
2006-11-29 16:46 <DIR> d-------- C:\Programme\Virus-Bursters
2006-11-25 15:54 247,296 --a------ C:\WINDOWS\UN160407.EXE
2006-11-19 13:30 <DIR> d-------- C:\KAC
2006-11-15 15:44 18,273 --a------ C:\WINDOWS\system32\drivers\klop.sys

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-12-02 12:40 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-02 12:38 74510 --a------ C:\Dokumente und Einstellungen\Familie Appel\Anwendungsdaten\CleanUp!.log
2006-12-01 16:20 707 --a------ C:\WINDOWS\_default(4).pif
2006-12-01 16:20 707 --a------ C:\WINDOWS\_default(3).pif
2006-12-01 16:20 707 --a------ C:\WINDOWS\_default(2).pif
2006-11-01 17:42 94314 --a------ C:\WINDOWS\system32\klogon.dll
2006-10-30 14:11 61072 --a------ C:\WINDOWS\system32\drivers\klick.sys
2006-10-30 14:11 59536 --a------ C:\WINDOWS\system32\drivers\klin.sys
2006-10-30 14:11 -------- d-------- C:\Programme\Kaspersky Internet Security 6.0
2006-10-30 14:09 -------- d-------- C:\Programme\Symantec
2006-10-30 14:09 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-30 14:08 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-30 14:05 -------- d-------- C:\Programme\Norton AntiVirus
2006-10-30 12:46 -------- d-------- C:\Programme\LimeWire

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"RecordNow!"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Dit"="Dit.exe"
"KBD"="C:\\HP\\KBD\\KBD.EXE"
"VTTimer"="VTTimer.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"AVP"="\"C:\\Programme\\Kaspersky Internet Security 6.0\\avp.exe\""
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
@=""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{af4fd984-a939-4c32-82b2-8bae7abe9aec}"="benumbment"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~3.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Kodak EasyShare Software.lnk"
"backup"="C:\\WINDOWS\\pss\\Kodak EasyShare Software.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKE~1\\bin\\EASYSH~1.EXE -h"
"item"="Kodak EasyShare Software"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Kodak software updater.lnk"
"backup"="C:\\WINDOWS\\pss\\Kodak software updater.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKS~1\\7288971\\Program\\KODAKS~1.EXE "
"item"="Kodak software updater"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sgtray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-02 12:50:30.45
C:\ComboFix.txt ... 06-12-02 12:50

Findbat Logfiles:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\WINDOWS\system32

02.12.2006 13:04 50.257 nvapps.xml
01.12.2006 14:20 1.230 wpa.dbl
29.11.2006 16:46 77.824 dbqlrij.dll
29.11.2006 16:46 4.286 ot.ico
29.11.2006 16:46 4.286 ts.ico
01.11.2006 17:42 94.314 klogon.dll
30.10.2006 14:05 100 LuResult.txt
29.10.2006 16:10 381.692 perfh009.dat
29.10.2006 16:10 53.436 perfc009.dat
29.10.2006 16:10 392.512 perfh007.dat
29.10.2006 16:10 64.452 perfc007.dat
29.10.2006 16:10 902.476 PerfStringBackup.INI
15.10.2006 10:55 827.392 FLASH.OCX

2131 Datei(en) 447.234.804 Bytes
0 Verzeichnis(se), 43.522.412.544 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp

02.12.2006 13:14 206 jusched.log
1 Datei(en) 206 Bytes
0 Verzeichnis(se), 43.522.539.520 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\WINDOWS

02.12.2006 13:05 6.701.200 setupapi.log
02.12.2006 13:05 0 0.log
02.12.2006 13:04 54.156 QTFont.qfn
02.12.2006 13:04 2.048 bootstat.dat
02.12.2006 13:03 32.586 SchedLgU.Txt
01.12.2006 16:20 707 _default(4).pif
01.12.2006 16:20 707 _default(3).pif
01.12.2006 16:20 707 _default(2).pif
01.12.2006 16:20 65.978 Seifenblase.bmp
01.12.2006 16:20 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
01.12.2006 16:16 747 mgxoschk(6).ini
01.12.2006 16:16 747 mgxoschk(5).ini
01.12.2006 16:16 747 mgxoschk(4).ini
01.12.2006 16:16 747 mgxoschk(3).ini
01.12.2006 16:16 747 mgxoschk(3)(2).ini
01.12.2006 16:15 747 mgxoschk(2).ini
01.12.2006 16:15 3.120 MF_C420.lfa
29.11.2006 13:56 202.076 wmsetup.log
25.11.2006 15:52 0 asym.ini
14.11.2006 15:57 50 wiaservc.log
14.11.2006 15:57 214 wiadebug.log
14.11.2006 15:54 69 NeroDigital.ini
30.10.2006 14:11 1.409 QTFont.for
28.10.2006 17:01 572 SC2K4WIN.INI
07.10.2006 10:08 240 homeDVD-Fotos3.INI
03.10.2006 09:28 77 muma2003.INI

200 Datei(en) 18.494.018 Bytes
0 Verzeichnis(se), 43.522.535.424 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\WINDOWS\Temp

02.12.2006 13:04 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 43.522.641.920 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf

7 Datei(en) 409.783 Bytes
0 Verzeichnis(se), 43.522.641.920 Bytes frei

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\

02.12.2006 13:35 0 sys.txt
02.12.2006 13:34 623 down.txt
02.12.2006 13:33 275 tmp.txt
02.12.2006 13:32 10.165 system.txt
02.12.2006 13:31 286 systemtemp.txt
02.12.2006 13:29 104.085 system32.txt
02.12.2006 13:04 805.306.368 pagefile.sys
24.11.2006 18:18 974.336 Thema 1.DOC technik einfhrung.DOC
24.11.2006 18:00 422.400 AB Stechbeitel.doc
10.08.2006 17:05 168.834 temp.raw
31.10.2005 16:56 700.416 StubInstaller.exe

24 Datei(en) 814.064.998 Bytes
0 Verzeichnis(se), 43.522.641.920 Bytes frei

Thanks a lot:-)

02.12.2006, 20:29

Sabina

Ehrenmitglied

Beiträge: 29434

#2 hacko

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKLM\software\microsoft\windows\currentversion\SharedTaskScheduler|{af4fd984-a939-4c32-82b2-8bae7abe9aec}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|benumbment

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67270207-b9ee-4d26-9270-860fdb060ca1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{755bbd1a-aa59-456c-afeb-b4c42c4dcb6f}
HKLM\SOFTWARE\Classes\CLSID\{af4fd984-a939-4c32-82b2-8bae7abe9aec}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}

Files to delete:
C:\WINDOWS\system32\dbqlrij.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Dokumente und Einstellungen\%UserName%\Desktop\Virus-Bursters.lnk
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\VBLanguage.ini

Folders to delete:
C:\Programme\Virus-Bursters
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

__________________________

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\System32\ixt1.dll
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\System32\ixt0.dll

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

PC neustarten

**
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

04.12.2006, 14:36

hacko

...neu hier

Themenstarter

Beiträge: 5

#3 So hab` alles soweit erledigt. Virus ist weg. Danke dir. Hier der Report von Panda. Kann man die Malware mit Spybot oder Adaware weg bekommen?

Incident Status Location

Dialer:dialer.xd Not disinfected c:\windows\switchagreement.txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Familie Appel\Cookies\familie appel@mediaplex[1].txt
Adware:Adware/MediaTickets Not disinfected C:\Dokumente und Einstellungen\Familie Appel\Eigene Dateien\Downloads\Hilfe\backups\backup-20061204-132135-275.inf
Dialer

ialer.ABR Not disinfected C:\Dokumente und Einstellungen\Familie Appel\Eigene Dateien\Downloads\Hilfe\backups\backup-20061204-132135-560.inf
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Familie Appel\Eigene Dateien\Downloads\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Familie Appel\Eigene Dateien\Downloads\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Familie Appel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\bsux7bzo.default\Cache\0C5F542Cd01[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/HideWindow.A Not disinfected C:\hp\bin\FondleWindow.exe
Potentially unwanted tool:Application/KillApp.B Not disinfected C:\hp\bin\KillIt.exe
Potentially unwanted tool:Application/KillApp.A Not disinfected C:\hp\bin\Terminator.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Adware:Adware/SearchAid Not disinfected C:\WINDOWS\_default(2).pif:vehztj
Adware:Adware/SearchAid Not disinfected C:\WINDOWS\_default(3).pif:vehztj
Adware:Adware/SearchAid Not disinfected C:\WINDOWS\_default(4).pif:vehztj

04.12.2006, 15:07

Sabina

Ehrenmitglied

Beiträge: 29434

#4 http://virus-protect.org/artikel/tools/ADSSpy.exe

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk - poste das log
__________
MfG Sabina

rund um die PC-Sicherheit

04.12.2006, 15:13

hacko

...neu hier

Themenstarter

Beiträge: 5

#5 Hier das log:

C:\WINDOWS\_default(2).pif : clouzg (3567 bytes, MD5 F1E3D0E7EB8D3B4BCCAF090F9667338F)
C:\WINDOWS\_default(2).pif : kkwhxw (197761 bytes, MD5 48B8572D923DB3E40EA6F84DECB78013)
C:\WINDOWS\_default(2).pif : vehztj (68608 bytes, MD5 F3EA5878D3440AF2109AF27A33BE1D9E)
C:\WINDOWS\_default(2).pif : zjtwbj (13581 bytes, MD5 4911E77A16A9090F69E2710698519DF3)
C:\WINDOWS\_default(3).pif : clouzg (3567 bytes, MD5 F1E3D0E7EB8D3B4BCCAF090F9667338F)
C:\WINDOWS\_default(3).pif : kkwhxw (197761 bytes, MD5 48B8572D923DB3E40EA6F84DECB78013)
C:\WINDOWS\_default(3).pif : vehztj (68608 bytes, MD5 F3EA5878D3440AF2109AF27A33BE1D9E)
C:\WINDOWS\_default(3).pif : zjtwbj (13581 bytes, MD5 4911E77A16A9090F69E2710698519DF3)
C:\WINDOWS\_default(4).pif : clouzg (3567 bytes, MD5 F1E3D0E7EB8D3B4BCCAF090F9667338F)
C:\WINDOWS\_default(4).pif : kkwhxw (197761 bytes, MD5 48B8572D923DB3E40EA6F84DECB78013)
C:\WINDOWS\_default(4).pif : vehztj (68608 bytes, MD5 F3EA5878D3440AF2109AF27A33BE1D9E)
C:\WINDOWS\_default(4).pif : zjtwbj (13581 bytes, MD5 4911E77A16A9090F69E2710698519DF3)

04.12.2006, 15:15

Sabina

Ehrenmitglied

Beiträge: 29434

#6 es gibt eine Funktion im Proggie: loeschen
mache das und starte den rechner neu.

dan ist der rechner, abgesehen von backups, die du loeschen kannst und Tools, die keine viren sind, wieder sauber

__________
MfG Sabina

rund um die PC-Sicherheit

04.12.2006, 15:21

hacko

...neu hier

Themenstarter

Beiträge: 5

#7 Sorry, Sabina aber was ist denn "im Proggie"?

04.12.2006, 15:28

Sabina

Ehrenmitglied

Beiträge: 29434

#8 ADSSpy - ist das Programm - zuerst hast du gescannt - nun loesche die streams
__________
MfG Sabina

rund um die PC-Sicherheit

04.12.2006, 18:15

hacko

...neu hier

Themenstarter

Beiträge: 5

#9 Vielen Dank, Sabine. Hoffe wir müssen nicht so schnell wieder texten. :-)

04.12.2006, 20:12

diavola

...neu hier

Beiträge: 3

#10 hallo

bin ein bisschen ratlos.
habe seit heute auch diesen virus-burster.
verfüge über ein norton und symantec antivirus progarmm und krieg den virus-burster nicht weg. werde auch nicht ganz schlau aus euren mails.

help....................

vielen dank
diavola

05.12.2006, 00:03

Sabina

Ehrenmitglied

Beiträge: 29434

#11 diavola

1.
Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html

und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

08.12.2006, 17:36

Studches

...neu hier

Beiträge: 1

#12 Hallo, ich habe mir Virus-Busters Vorgestern eingefangen, eben habe ich ein update von Ad-Aware SE Personal gemacht, der erste durchlauf hatte 15 Treffer bezüglich Virus-Bursters, nun hat das Ding verloren :-)

Gruß
Studches

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1