Home » Spyware & Browser Hijacker Support Forum » TR/Proxy.Dlena.AS - TR/Kolweb.B.15 » Themenansicht

TR/Proxy.Dlena.AS - TR/Kolweb.B.15

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.12.2006, 00:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1

Zitat

Liebe Sabina

ich habe deine Beiträge aus Not gelesen, dh. ich habe ismini.exe und andere Schädlinge mit SmitraudFix bekämpft. Ich war einigermassen erfolgreich. Ich habe unter Windows XP mein Administrator Konto mit Passwort versehen und dann ein Gast Konto eröffnet und nun erscheinen erneut Warnungen von AntiVir zum Beispiel: TR/Proxy.Dlena.AS oder TR/Kolweb.B.15 oder eine Anzeige in der Toolbar, die besagt, dass es einen ernsthaften Befall gibt.

Logfile of HijackThis v1.99.1
Scan saved at 23:03:01, on 09.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE
C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\kblrggkA.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\C-CHANNEL\MyPen Pro\MyPenPro.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\Internet Fox\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bookmarks.bluewin.ch/d/searchpane.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sbb.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {40A2988E-C954-4DDE-BD08-453191805BB9} - C:\WINDOWS\system32\durvilx.dll (file missing)
O2 - BHO: (no name) - {43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79} - C:\Programme\Online Services\hotef.dll (file missing)
O2 - BHO: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Modem Update Reminder] C:\WINDOWS\MWW32\manager\mwremind.exe autorun
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvbav.dll,startup
O4 - HKLM\..\Run: [kblrggkA] C:\WINDOWS\kblrggkA.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyPen Pro.lnk = ?
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: ThinkPad Modem Copyright.lnk = C:\WINDOWS\MWW32\manager\mwcpyrt.exe
O4 - Global Startup: Uninstall.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19934e41f4dd8abf4a16/netzip/RdxIE601.cab
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: winwll32 - winwll32.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Fkigdphh.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ThinkPad Modem Service (ThinkPadModemService) - IBM Corporation - C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINDOWS\kblrggk.exe (file missing)

Was kann ich noch tun? Grüsse dich

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 00:50
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hallo ;)

ich arbeite grundsaetzlich nicht per PM - also alle logs bitte hier posten

1.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.12.2006, 23:23
jauli f
...neu hier

Beiträge: 10
#3 Herzlichen Dank für den Hinweis

1. das log von combofix :

Zitat

F.B - 06-12-10 22:19:22.34 Service Pack 1
ComboFix 06.11.27W - Running from: "D:\"

((((((((((((((((((((((((((((((( Files Created from 2006-11-10 to 2006-12-10 ))))))))))))))))))))))))))))))))))


2006-11-29 23:23 <DIR> d-------- C:\Dokumente und Einstellungen\F.B\Anwendungsdaten\Talkback
2006-11-29 23:20 <DIR> d-------- C:\Dokumente und Einstellungen\F.B\Anwendungsdaten\Thunderbird
2006-11-29 23:19 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2006-11-29 23:01 <DIR> d-------- C:\Programme\Mozilla Firefox
2006-11-29 23:01 <DIR> d-------- C:\Dokumente und Einstellungen\F.B\Anwendungsdaten\Mozilla
2006-11-27 22:35 <DIR> d-------- C:\Programme\CleanUp!
2006-11-19 19:32 59,392 --a------ C:\WINDOWS\system32\drvbav.dll
2006-11-19 19:31 307,824 -r-hs---- C:\WINDOWS\kblrggkA.exe
2006-11-19 19:31 183,476 --a------ C:\WINDOWS\srvnicjwcw.exe
2006-11-19 19:31 118,784 --a------ C:\AutoSearch.dll
2006-11-19 19:31 0 --a------ C:\WINDOWS\system32\dlh9jkd1q8.exe
2006-11-19 19:31 0 --a------ C:\umnsclry.exe
2006-11-19 19:31 0 --a------ C:\srusprsr.exe
2006-11-19 19:31 0 --a------ C:\oglyosmm.exe
2006-11-19 19:31 0 --a------ C:\nehrfem.exe
2006-11-19 19:31 0 --a------ C:\msagft.exe
2006-11-19 19:31 0 --a------ C:\ikcibwmx.exe
2006-11-19 19:31 0 --a------ C:\gbmt.exe
2006-11-19 19:31 0 --a------ C:\chwdh.exe
2006-11-19 19:31 <DIR> d-------- C:\Programme\PSDream


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-10 22:00 -------- d-------- C:\Dokumente und Einstellungen\F.B\Anwendungsdaten\Skype
2006-11-29 22:58 -------- d-------- C:\Programme\WebWasher
2006-11-27 23:11 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-27 22:27 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-27 21:37 -------- d-------- C:\Programme\Online Services
2006-11-27 21:37 -------- d-------- C:\Programme\MSN
2006-11-20 01:27 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-11-09 22:12 -------- d-------- C:\Dokumente und Einstellungen\F.B\Anwendungsdaten\Real
2006-11-09 22:11 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-11-09 22:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-11-09 01:17 0 --a------ C:\WINDOWS\system32\z16.exe
2006-11-09 01:17 0 --a------ C:\WINDOWS\system32\z15.exe
2006-11-09 01:17 0 --a------ C:\WINDOWS\system32\z14.exe
2006-11-09 01:16 0 --a------ C:\WINDOWS\system32\z13.exe
2006-11-09 01:16 0 --a------ C:\WINDOWS\system32\z12.exe
2006-11-09 01:16 0 --a------ C:\WINDOWS\system32\z11.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"WebWasher"="C:\\Programme\\WebWasher\\wwasher.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"TrackPointSrv"="tp4mon.exe"
"Modem Update Reminder"="C:\\WINDOWS\\MWW32\\manager\\mwremind.exe autorun"
"AME_CSA"="rundll32 amecsa.cpl,RUN_DLL"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Systems"="C:\\WINDOWS\\System32\\sysmon.exe"
"CTDrive"="rundll32.exe C:\\WINDOWS\\System32\\drvbav.dll,startup"
"kblrggkA"="C:\\WINDOWS\\kblrggkA.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Programme\\MSN\\kyceroqoq.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Programme\\Gemeinsame Dateien\\hozyp.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,b5,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"PSDream"="\"C:\\Programme\\PSDream\\PSDream.exe\""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"PSDream"="\"C:\\Programme\\PSDream\\PSDream.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]
"{ECFD45E8-018D-1031-0524-990029}"="\"C:\\Programme\\Gemeinsame Dateien\\{ECFD45E8-018D-1031-0524-990029}\\Update.exe\" mc-110-12-0000272"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"="1"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]
"{ECFD45E8-018D-1031-0524-990029}"="\"C:\\Programme\\Gemeinsame Dateien\\{ECFD45E8-018D-1031-0524-990029}\\Update.exe\" mc-110-12-0000272"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"Internet Explorer"="{F28A40D7-AD0E-034A-C651-5F0ED76232E6}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwll32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-10 22:20:42.18
C:\ComboFix.txt ... 06-12-10 22:20
C:\ComboFix2.txt ... 06-12-10 21:52
C:\ComboFix3.txt ... 06-11-27 23:12
2. CleanUp wie angegeben virus-protect


3. die 6 Textdateien von datfind.bat

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\system32

10.12.2006 22:35 54'112 vsconfig.xml
09.12.2006 21:46 4'212 zllictbl.dat
09.12.2006 21:15 13'646 wpa.dbl
02.12.2006 23:38 8'628 amecsa.GID
27.11.2006 14:54 561 ldinfo.ldr
27.11.2006 14:03 80 url.dat
27.11.2006 11:54 768 d3d8caps.dat
19.11.2006 19:32 59'392 drvbav.dll
19.11.2006 19:31 0 asfds
19.11.2006 19:31 0 dlh9jkd1q8.exe
19.11.2006 19:31 1 kr_done1
09.11.2006 01:17 0 z16.exe
09.11.2006 01:17 0 z15.exe
09.11.2006 01:17 0 z14.exe
09.11.2006 01:16 0 z13.exe
09.11.2006 01:16 0 z11.exe
09.11.2006 01:16 0 z12.exe
08.11.2006 23:39 185'952 rmoc3260.dll
08.11.2006 23:38 5'632 pndx5032.dll
08.11.2006 23:38 6'656 pndx5016.dll
08.11.2006 23:38 278'528 pncrt.dll
30.10.2006 19:47 311'938 perfh009.dat
30.10.2006 19:47 40'326 perfc009.dat
30.10.2006 19:47 48'558 perfc007.dat
30.10.2006 19:47 317'162 perfh007.dat
30.10.2006 19:47 723'744 PerfStringBackup.INI
23.08.2006 23:38 42'920 vsutil_loc0407.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\DOKUME~1\F.B\LOKALE~1\Temp

10.12.2006 22:43 289 datFind.zip
10.12.2006 22:35 16'384 ~DF1AC7.tmp
10.12.2006 22:35 0 E.tmp
10.12.2006 22:35 0 C.tmp
10.12.2006 22:35 0 A.tmp
10.12.2006 22:35 0 8.tmp
10.12.2006 22:34 0 6.tmp
10.12.2006 22:34 0 4.tmp
10.12.2006 22:33 0 1.tmp
10.12.2006 22:33 16'384 ~DF5BE4.tmp
04.10.2006 09:23 668 datFind.bat
11 Datei(en) 33'725 Bytes
0 Verzeichnis(se), 3'002'540'032 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS

10.12.2006 22:39 471'297 WindowsUpdate.log
10.12.2006 22:32 0 0.log
10.12.2006 22:32 2'048 bootstat.dat
10.12.2006 22:31 32'576 SchedLgU.Txt
08.12.2006 01:42 50 wiaservc.log
08.12.2006 01:42 216 wiadebug.log
07.12.2006 23:26 1'125 win.ini
07.12.2006 22:26 925'366 setupapi.log
02.12.2006 22:07 4'036 mozver.dat
29.11.2006 23:02 0 nsreg.dat
28.11.2006 00:14 539'994 ntbtlog.txt
27.11.2006 21:50 8'148 ModemLog_ThinkPad Modem.txt
19.11.2006 21:17 47 tcb.pmw
19.11.2006 19:31 183'476 srvnicjwcw.exe
20.09.2006 07:33 181'258 setupact.log
13.08.2006 13:19 12'646 iis6.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\Temp

10.12.2006 22:34 256 ZLT0397d.TMP
10.12.2006 22:34 256 ZLT0393f.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 2'999'955'456 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 12:00 5'019 swflash.inf
19.03.2004 10:24 65 desktop.ini
25.08.2003 18:12 1'096 iuctl.inf
20.01.2000 15:25 1'162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 8'039 Bytes
0 Verzeichnis(se), 2'999'951'360 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\

10.12.2006 22:50 0 sys.txt
10.12.2006 22:49 533 down.txt
10.12.2006 22:49 327 tmp.txt
10.12.2006 22:48 5'559 system.txt
10.12.2006 22:47 738 systemtemp.txt
10.12.2006 22:43 88'886 system32.txt
10.12.2006 22:33 18'627 AmeCSAex.log
10.12.2006 22:32 301'387'776 hiberfil.sys
10.12.2006 22:32 452'984'832 pagefile.sys
10.12.2006 22:22 8'920 ComboFix 1.txt
10.12.2006 22:21 8'920 ComboFix.txt
10.12.2006 21:52 8'905 ComboFix2.txt
27.11.2006 23:37 586 DirDPF.txt
27.11.2006 23:37 2 DirDPFCns.txt
27.11.2006 23:12 8'727 ComboFix3.txt
19.11.2006 19:31 0 oglyosmm.exe
19.11.2006 19:31 0 chwdh.exe
19.11.2006 19:31 0 msagft.exe
19.11.2006 19:31 220 dbg.txt
19.11.2006 19:31 0 ikcibwmx.exe
19.11.2006 19:31 0 gbmt.exe
19.11.2006 19:31 0 srusprsr.exe
19.11.2006 19:31 0 nehrfem.exe
19.11.2006 19:31 0 umnsclry.exe
19.11.2006 19:31 0 uniq
13.09.2006 15:13 118'784 AutoSearch.dll
Ich grüsse herzlich

jauli
Dieser Beitrag wurde am 10.12.2006 um 23:43 Uhr von jauli f editiert.
Seitenanfang Seitenende
11.12.2006, 09:31
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 jauli f

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]
"{ECFD45E8-018D-1031-0524-990029}"=-

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]
"{ECFD45E8-018D-1031-0524-990029}"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"PSDream"=-

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"PSDream"=-

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|Internet Explorer
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ControlPanel
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Systems
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|kblrggkA

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwll32
HKLM\SOFTWARE\Classes\CLSID\{40A2988E-C954-4DDE-BD08-453191805BB9}
HKLM\SOFTWARE\Classes\CLSID\{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79}
HKLM\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\SOFTWARE\Classes\CLSID\{F28A40D7-AD0E-034A-C651-5F0ED76232E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OvMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Overlay Components

Files to delete:
C:\WINDOWS\System32\sysmon.exe
C:\WINDOWS\System32\ldcore.dll
C:\WINDOWS\system32\ldinfo.ldr
C:\WINDOWS\system32\url.dat
C:\WINDOWS\system32\drvbav.dll
C:\WINDOWS\system32\asfds
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\z16.exe
C:\WINDOWS\system32\z15.exe
C:\WINDOWS\system32\z14.exe
C:\WINDOWS\system32\z13.exe
C:\WINDOWS\system32\z11.exe
C:\WINDOWS\system32\z12.exe
C:\WINDOWS\tcb.pmw
C:\WINDOWS\srvnicjwcw.exe
C:\WINDOWS\kblrggkA.exe
C:\oglyosmm.exe
C:\chwdh.exe
C:\msagft.exe
C:\dbg.txt
C:\ikcibwmx.exe
C:\gbmt.exe
C:\srusprsr.exe
C:\nehrfem.exe
C:\umnsclry.exe
C:\uniq
C:\AutoSearch.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF1AC7.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\E.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\C.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\A.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\8.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\6.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\4.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\1.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF5BE4.tmp

Folders to delete:
C:\Programme\PSDream
C:\Programme\Gemeinsame Dateien\{ECFD45E8-018D-1031-0524-990029}

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

----------------------------------------------------------------------------

««
scanne und poste den scanreport
http://virus-protect.org/cureit.html
+
poste noch mal das log vom HijacktHis
+
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2006, 22:16
jauli f
...neu hier

Beiträge: 10
#5 Ich bin zurück

1. scanreport http://virus-protect.org/cureit.html
(siehe Anhang)

2. das log vom HijacktHis

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 22:01:24, on 12.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE
C:\WINDOWS\MWW32\MANAGER\MWSSW32.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\C-CHANNEL\MyPen Pro\MyPenPro.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\F.B\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bookmarks.bluewin.ch/d/searchpane.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sbb.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {40A2988E-C954-4DDE-BD08-453191805BB9} - C:\WINDOWS\system32\durvilx.dll (file missing)
O2 - BHO: (no name) - {43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79} - C:\Programme\Online Services\hotef.dll (file missing)
O2 - BHO: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Modem Update Reminder] C:\WINDOWS\MWW32\manager\mwremind.exe autorun
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyPen Pro.lnk = ?
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: ThinkPad Modem Copyright.lnk = C:\WINDOWS\MWW32\manager\mwcpyrt.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19934e41f4dd8abf4a16/netzip/RdxIE601.cab
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: winwll32 - winwll32.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Fkigdphh.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ThinkPad Modem Service (ThinkPadModemService) - IBM Corporation - C:\WINDOWS\MWW32\MANAGER\MWMDMSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINDOWS\kblrggk.exe (file missing)
3. die 6 logs von datfindbat

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\system32

12.12.2006 21:37 54'112 vsconfig.xml
11.12.2006 22:05 5'836 ubihovwo.txt
10.12.2006 23:49 13'646 wpa.dbl
09.12.2006 21:46 4'212 zllictbl.dat
02.12.2006 23:38 8'628 amecsa.GID
27.11.2006 14:54 561 ldinfo.ldr
27.11.2006 14:03 80 url.dat
27.11.2006 11:54 768 d3d8caps.dat
19.11.2006 19:31 0 asfds
19.11.2006 19:31 0 dlh9jkd1q8.exe
19.11.2006 19:31 1 kr_done1
08.11.2006 23:39 185'952 rmoc3260.dll
08.11.2006 23:38 5'632 pndx5032.dll
08.11.2006 23:38 6'656 pndx5016.dll
08.11.2006 23:38 278'528 pncrt.dll
30.10.2006 19:47 311'938 perfh009.dat
30.10.2006 19:47 40'326 perfc009.dat
30.10.2006 19:47 317'162 perfh007.dat
30.10.2006 19:47 48'558 perfc007.dat
30.10.2006 19:47 723'744 PerfStringBackup.INI
23.08.2006 23:38 42'920 vsutil_loc0407.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\DOKUME~1\F.B\LOKALE~1\Temp

12.12.2006 22:02 289 datFind.zip
12.12.2006 22:01 4'428 hijackthis.log
12.12.2006 22:00 212'849 hijackthis.zip
12.12.2006 21:37 16'384 ~DFB08F.tmp
12.12.2006 00:16 1'885'376 pr005b.mp3
11.12.2006 22:41 16'384 ~DF89C5.tmp
11.12.2006 22:09 0 F.tmp
11.12.2006 22:09 0 D.tmp
11.12.2006 22:09 0 B.tmp
11.12.2006 22:09 0 9.tmp
11.12.2006 22:09 0 7.tmp
11.12.2006 22:09 0 5.tmp
11.12.2006 22:08 0 2.tmp
11.12.2006 22:08 16'384 ~DF2513.tmp
11.12.2006 22:03 127'378 avenger.zip
11.12.2006 21:47 0 E.tmp
11.12.2006 21:47 0 C.tmp
11.12.2006 21:47 0 A.tmp
11.12.2006 21:47 0 8.tmp
11.12.2006 21:47 0 6.tmp
11.12.2006 21:47 0 4.tmp
11.12.2006 21:47 0 1.tmp
11.12.2006 21:47 16'384 ~DF9270.tmp
11.12.2006 00:04 12'844'360 SkypeSetup.exe
10.12.2006 22:33 16'384 ~DF5BE4.tmp
29.11.2006 17:54 281'600 Hoster.exe
04.10.2006 09:23 668 datFind.bat
25.02.2006 23:28 130'048 avenger.exe
16.02.2005 11:06 218'112 HijackThis.exe
29 Datei(en) 15'787'028 Bytes
0 Verzeichnis(se), 2'759'753'728 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS

12.12.2006 21:43 505'540 WindowsUpdate.log
12.12.2006 21:36 0 0.log
12.12.2006 21:36 2'048 bootstat.dat
12.12.2006 21:35 32'576 SchedLgU.Txt
11.12.2006 22:37 671'620 ntbtlog.txt
11.12.2006 22:36 181'378 setupact.log
11.12.2006 00:31 318 wiadebug.log
10.12.2006 23:10 925'515 setupapi.log
10.12.2006 23:01 50 wiaservc.log
07.12.2006 23:26 1'125 win.ini
02.12.2006 22:07 4'036 mozver.dat
29.11.2006 23:02 0 nsreg.dat
27.11.2006 21:50 8'148 ModemLog_ThinkPad Modem.txt
19.11.2006 21:17 47 tcb.pmw
19.11.2006 19:31 183'476 srvnicjwcw.exe
13.08.2006 13:19 42'415 comsetup.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\Temp

12.12.2006 21:37 256 ZLT0297a.TMP
12.12.2006 21:36 256 ZLT02967.TMP
12.12.2006 21:24 256 ZLT02003.TMP
12.12.2006 21:24 256 ZLT01ff6.TMP
11.12.2006 22:39 256 ZLT00b80.TMP
11.12.2006 22:39 256 ZLT00b73.TMP
11.12.2006 22:07 256 ZLT072f5.TMP
11.12.2006 22:07 256 ZLT072c0.TMP
11.12.2006 21:43 256 ZLT06069.TMP
11.12.2006 21:43 256 ZLT06055.TMP
10.12.2006 22:34 256 ZLT0397d.TMP
10.12.2006 22:34 256 ZLT0393f.TMP
12 Datei(en) 3'072 Bytes
0 Verzeichnis(se), 2'759'749'632 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 12:00 5'019 swflash.inf
19.03.2004 10:24 65 desktop.ini
25.08.2003 18:12 1'096 iuctl.inf
20.01.2000 15:25 1'162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 8'039 Bytes
0 Verzeichnis(se), 2'759'745'536 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\

12.12.2006 22:24 0 sys.txt
12.12.2006 22:23 533 down.txt
12.12.2006 22:23 827 tmp.txt
12.12.2006 22:22 5'509 system.txt
12.12.2006 22:22 1'588 systemtemp.txt
12.12.2006 22:22 88'618 system32.txt
12.12.2006 21:37 19'126 AmeCSAex.log
12.12.2006 21:36 301'387'776 hiberfil.sys
12.12.2006 21:36 452'984'832 pagefile.sys
11.12.2006 22:36 1'147 rapport.txt
11.12.2006 22:08 0 avenger.txt
10.12.2006 23:29 8'996 ComboFix 2.txt
10.12.2006 23:28 8'996 ComboFix.txt
10.12.2006 22:22 8'920 ComboFix 1.txt
10.12.2006 22:21 8'920 ComboFix2.txt
10.12.2006 21:52 8'905 ComboFix3.txt
27.11.2006 23:37 586 DirDPF.txt
27.11.2006 23:37 2 DirDPFCns.txt
19.11.2006 19:31 0 oglyosmm.exe
19.11.2006 19:31 0 chwdh.exe
19.11.2006 19:31 0 msagft.exe
19.11.2006 19:31 220 dbg.txt
19.11.2006 19:31 0 ikcibwmx.exe
19.11.2006 19:31 0 gbmt.exe
19.11.2006 19:31 0 srusprsr.exe
19.11.2006 19:31 0 nehrfem.exe
19.11.2006 19:31 0 umnsclry.exe
01.11.2004 23:19 235'296 ntldr
Das scannen mit Dr. Cureit (Punkt 1) hat sehr lange gedauert. Ansonsten bin ich froh und erkenne den Heilungsfortschritt.
Was gibts noch zu tun?

Grüsse jauli
Dr

Anhang: CureIt.txt
Dieser Beitrag wurde am 12.12.2006 um 22:31 Uhr von jauli f editiert.
Seitenanfang Seitenende
12.12.2006, 23:36
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|Internet Explorer
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ControlPanel
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Systems
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|kblrggkA

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwll32
HKLM\SOFTWARE\Classes\CLSID\{40A2988E-C954-4DDE-BD08-453191805BB9}
HKLM\SOFTWARE\Classes\CLSID\{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79}
HKLM\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\SOFTWARE\Classes\CLSID\{F28A40D7-AD0E-034A-C651-5F0ED76232E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OvMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Overlay Components

Files to delete:
c:\windows\kblrggka.exe
C:\AutoSearch.dll
C:\WINDOWS\system32\ubihovwo.txt
C:\WINDOWS\system32\ldinfo.ldr
C:\WINDOWS\system32\url.dat
C:\WINDOWS\system32\asfds
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\kr_done1
C:\oglyosmm.exe
C:\chwdh.exe
C:\msagft.exe
C:\dbg.txt
C:\ikcibwmx.exe
C:\gbmt.exe
C:\srusprsr.exe
C:\nehrfem.exe
C:\umnsclry.exe
C:\WINDOWS\tcb.pmw
C:\WINDOWS\srvnicjwcw.exe

Folders to delete:
C:\Programme\PSDream
C:\Programme\Gemeinsame Dateien\{ECFD45E8-018D-1031-0524-990029}


klicke die gruene ampel, nach neustart erscheint ein log vom Avenger - poste es hier + noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 00:05
jauli f
...neu hier

Beiträge: 10
#7 OK, habs gemacht.

1.

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bmuycayh

*******************

Script file located at: \??\C:\WINDOWS\hrypfqsw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Overlay Components not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Overlay Components failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Overlay Components
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Windows Overlay Components not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Windows Overlay Components failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Windows Overlay Components
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Windows Overlay Components not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Windows Overlay Components failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Windows Overlay Components
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Overlay Components not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Overlay Components failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Overlay Components
Status: 0xc0000034



File c:\windows\kblrggka.exe not found!
Deletion of file c:\windows\kblrggka.exe failed!

Could not process line:
c:\windows\kblrggka.exe
Status: 0xc0000034



File C:\AutoSearch.dll not found!
Deletion of file C:\AutoSearch.dll failed!

Could not process line:
C:\AutoSearch.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ubihovwo.txt deleted successfully.
File C:\WINDOWS\system32\ldinfo.ldr deleted successfully.
File C:\WINDOWS\system32\url.dat deleted successfully.
File C:\WINDOWS\system32\asfds deleted successfully.
File C:\WINDOWS\system32\dlh9jkd1q8.exe deleted successfully.
File C:\WINDOWS\system32\kr_done1 deleted successfully.
File C:\oglyosmm.exe deleted successfully.
File C:\chwdh.exe deleted successfully.
File C:\msagft.exe deleted successfully.
File C:\dbg.txt deleted successfully.
File C:\ikcibwmx.exe deleted successfully.
File C:\gbmt.exe deleted successfully.
File C:\srusprsr.exe deleted successfully.
File C:\nehrfem.exe deleted successfully.
File C:\umnsclry.exe deleted successfully.
File C:\WINDOWS\tcb.pmw deleted successfully.
File C:\WINDOWS\srvnicjwcw.exe deleted successfully.
Folder C:\Programme\PSDream deleted successfully.


Folder C:\Programme\Gemeinsame Dateien\{ECFD45E8-018D-1031-0524-990029} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{ECFD45E8-018D-1031-0524-990029} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{ECFD45E8-018D-1031-0524-990029}
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|Internet Explorer deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ControlPanel
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ControlPanel failed!
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Systems deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|kblrggkA
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|kblrggkA failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwll32 deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{40A2988E-C954-4DDE-BD08-453191805BB9} deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79} deleted successfully.


Registry key HKLM\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508} not found!
Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508} failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{F28A40D7-AD0E-034A-C651-5F0ED76232E6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OvMon deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
2.

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\system32

12.12.2006 23:55 54'112 vsconfig.xml
10.12.2006 23:49 13'646 wpa.dbl
09.12.2006 21:46 4'212 zllictbl.dat
02.12.2006 23:38 8'628 amecsa.GID
27.11.2006 11:54 768 d3d8caps.dat
08.11.2006 23:39 185'952 rmoc3260.dll
08.11.2006 23:38 5'632 pndx5032.dll
08.11.2006 23:38 6'656 pndx5016.dll
08.11.2006 23:38 278'528 pncrt.dll
30.10.2006 19:47 311'938 perfh009.dat
30.10.2006 19:47 40'326 perfc009.dat
30.10.2006 19:47 48'558 perfc007.dat
30.10.2006 19:47 317'162 perfh007.dat
30.10.2006 19:47 723'744 PerfStringBackup.INI
23.08.2006 23:38 42'920 vsutil_loc0407.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\DOKUME~1\F.B\LOKALE~1\Temp

13.12.2006 00:00 289 datFind.zip
12.12.2006 23:56 16'384 ~DF1658.tmp
12.12.2006 23:51 127'378 avenger-1.zip
12.12.2006 22:01 4'428 hijackthis.log
12.12.2006 00:16 1'885'376 pr005b.mp3
11.12.2006 22:41 16'384 ~DF89C5.tmp
11.12.2006 22:09 0 F.tmp
11.12.2006 22:09 0 D.tmp
11.12.2006 22:09 0 B.tmp
11.12.2006 22:09 0 9.tmp
11.12.2006 22:09 0 7.tmp
11.12.2006 22:09 0 5.tmp
11.12.2006 22:08 0 2.tmp
11.12.2006 22:08 16'384 ~DF2513.tmp
11.12.2006 22:03 127'378 avenger.zip
11.12.2006 21:47 0 E.tmp
11.12.2006 21:47 0 C.tmp
11.12.2006 21:47 0 A.tmp
11.12.2006 21:47 0 8.tmp
11.12.2006 21:47 0 6.tmp
11.12.2006 21:47 0 4.tmp
11.12.2006 21:47 0 1.tmp
11.12.2006 21:47 16'384 ~DF9270.tmp
11.12.2006 00:04 12'844'360 SkypeSetup.exe
10.12.2006 22:33 16'384 ~DF5BE4.tmp
29.11.2006 17:54 281'600 Hoster.exe
04.10.2006 09:23 668 datFind.bat
25.02.2006 23:28 130'048 avenger.exe
16.02.2005 11:06 218'112 HijackThis.exe
29 Datei(en) 15'701'557 Bytes
0 Verzeichnis(se), 2'743'504'896 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS

13.12.2006 00:01 508'639 WindowsUpdate.log
12.12.2006 23:54 0 0.log
12.12.2006 23:54 2'048 bootstat.dat
12.12.2006 23:53 32'576 SchedLgU.Txt
11.12.2006 22:37 671'620 ntbtlog.txt
11.12.2006 22:36 181'378 setupact.log
11.12.2006 00:31 318 wiadebug.log
10.12.2006 23:10 925'515 setupapi.log
10.12.2006 23:01 50 wiaservc.log
07.12.2006 23:26 1'125 win.ini
02.12.2006 22:07 4'036 mozver.dat
29.11.2006 23:02 0 nsreg.dat
27.11.2006 21:50 8'148 ModemLog_ThinkPad Modem.txt
13.08.2006 13:19 42'415 comsetup.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\Temp

12.12.2006 23:55 256 ZLT0131c.TMP
12.12.2006 23:54 256 ZLT0130f.TMP
12.12.2006 21:36 256 ZLT02967.TMP
12.12.2006 21:24 256 ZLT02003.TMP
12.12.2006 21:24 256 ZLT01ff6.TMP
11.12.2006 22:39 256 ZLT00b80.TMP
11.12.2006 22:39 256 ZLT00b73.TMP
11.12.2006 22:07 256 ZLT072f5.TMP
11.12.2006 22:07 256 ZLT072c0.TMP
11.12.2006 21:43 256 ZLT06069.TMP
11.12.2006 21:43 256 ZLT06055.TMP
10.12.2006 22:34 256 ZLT0397d.TMP
10.12.2006 22:34 256 ZLT0393f.TMP
13 Datei(en) 3'328 Bytes
0 Verzeichnis(se), 2'743'504'896 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 12:00 5'019 swflash.inf
19.03.2004 10:24 65 desktop.ini
25.08.2003 18:12 1'096 iuctl.inf
20.01.2000 15:25 1'162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 8'039 Bytes
0 Verzeichnis(se), 2'743'480'320 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECFD-45E8

Verzeichnis von C:\

13.12.2006 00:04 0 sys.txt
13.12.2006 00:04 533 down.txt
13.12.2006 00:04 877 tmp.txt
13.12.2006 00:04 5'412 system.txt
13.12.2006 00:04 1'587 systemtemp.txt
13.12.2006 00:04 88'334 system32.txt
12.12.2006 23:55 19'238 AmeCSAex.log
12.12.2006 23:54 11'492 avenger.txt
12.12.2006 23:54 301'387'776 hiberfil.sys
12.12.2006 23:54 452'984'832 pagefile.sys
11.12.2006 22:36 1'147 rapport.txt
10.12.2006 23:29 8'996 ComboFix 2.txt
10.12.2006 23:28 8'996 ComboFix.txt
10.12.2006 22:22 8'920 ComboFix 1.txt
10.12.2006 22:21 8'920 ComboFix2.txt
10.12.2006 21:52 8'905 ComboFix3.txt
27.11.2006 23:37 586 DirDPF.txt
27.11.2006 23:37 2 DirDPFCns.txt
01.11.2004 23:19 235'296 ntldr
Mein DANK
Grüsse Jauli
Seitenanfang Seitenende
13.12.2006, 00:07
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#8 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 00:14
jauli f
...neu hier

Beiträge: 10
#9 Nochnmals OK

Zitat

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 1
Dez 13, 2006 00:12:46


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1712
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1728
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{df441d0d-f883-4184-ae29-96c2ea078e97}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: ThinkPadModemService
Display Name: ThinkPad Modem Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\mww32\manager\mwmdmsvc.exe
State: Running
Process ID: 1664
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

---> End Service Listing <---

There are 78 Win32 services on this machine.
4 were unrecognized.

Script Execution Time: 15.112 seconds.
Und Merci
Seitenanfang Seitenende
13.12.2006, 00:22
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#10 Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF1658.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF89C5.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\F.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\D.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\B.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\9.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\7.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\5.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\2.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF2513.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\E.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\C.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\A.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\8.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\6.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\4.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\1.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF9270.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF5BE4.tmp
««
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten. in: "Enter search strings" (reinkopieren)

{40A2988E-C954-4DDE-BD08-453191805BB9}

in edit und klicke "Ok".
Notepad wird sich oeffnen -poste was erscheint

gleiches mit:

ldcore.dll

PSDream

Windows Overlay Components

{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79}

{C004DEC2-2623-438e-9CA2-C9043AB28508}

{F28A40D7-AD0E-034A-C651-5F0ED76232E6}
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 01:25
jauli f
...neu hier

Beiträge: 10
#11 So und weiter gehts...

Zitat

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 00:50:59 for strings:
; '{40a2988e-c954-4dde-bd08-453191805bb9}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40A2988E-C954-4DDE-BD08-453191805BB9}]

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 00:58:31 for strings:
; 'ldcore.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 01:00:22 for strings:
; 'psdream'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\PSDream]

[HKEY_USERS\S-1-5-18\Software\PSDream]

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 01:02:53 for strings:
; 'windows overlay components'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"Service"="Windows Overlay Components"
"DeviceDesc"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"Service"="Windows Overlay Components"
"DeviceDesc"="Windows Overlay Components"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000]
"Service"="Windows Overlay Components"
"DeviceDesc"="Windows Overlay Components"

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 01:08:45 for strings:
; '{43ab77a0-24e3-45f4-bdab-7d2afcd9ee79}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79}]

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 01:11:44 for strings:
; '
{c004dec2-2623-438e-9ca2-c9043ab28508}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 01:18:25 for strings:
; '
{f28a40d7-ad0e-034a-c651-5f0ed76232e6}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Liebe Grüsse
Jauli
Seitenanfang Seitenende
13.12.2006, 09:35
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#12 jauli f

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_USERS\.DEFAULT\Software\PSDream]

[-HKEY_USERS\S-1-5-18\Software\PSDream]
2.
Avenger

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40A2988E-C954-4DDE-BD08-453191805BB9}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000

3.
scanne und poste den scanreport (Panda)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 13:40
jauli f
...neu hier

Beiträge: 10
#13 Voilà
2.

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fupvhagb

*******************

Script file located at: \??\C:\WINDOWS\ocadafbv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40A2988E-C954-4DDE-BD08-453191805BB9} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{43AB77A0-24E3-45F4-BDAB-7D2AFCD9EE79} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Panda funktioniert nicht bei mir... habe allerdings das folgende nicht gemacht:

Zitat

Wenn man einen Fehler bekommt bei PandaActivescan, muss man in der Registry folgendes löschen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{9a9307a0-7da4-4daf-b042-5009f29e09e1}

und dann nochmal versuchen, mit aktiviertem ActiveX im IE , den Scan zu machen.
Wie tut man dies? Und diesen Virus hat mein AV-Programm während dem misglückten Versuch von Panda gemeldet.

Grüsse jauli

Anhang: dok.doc
Dieser Beitrag wurde am 13.12.2006 um 14:23 Uhr von jauli f editiert.
Seitenanfang Seitenende
13.12.2006, 14:33
Sabina
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#14 der Antivirus verhindert den Download ;)
oder lasse ihn vom Antivirus akzeptieren - oder scanne mit kaspersky
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 23:00
jauli f
...neu hier

Beiträge: 10
#15 Also, ich glaub das hat geklappt, hier der Report


Zitat

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 13. Dezember 2006 21:33:57
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 13/12/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 236482
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\F.B\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 9590
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:26:44

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\oakley.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\3U0E6V6.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{5E5A209D-9300-453A-95D6-C379EE52ADAD}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{80801486-4159-4D5C-838C-B8174B7E922D}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT06dde.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT06deb.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\F.B\LOKALE~1\Temp\~DFFA9F.tmp Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 13. Dezember 2006 22:47:54
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 13/12/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 236482
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 19663
Viren gefunden: 3
Infizierte Objekte gefunden: 6 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:10:44

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\DoctorWeb\Quarantine\kblrggk0.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ang übersprungen
C:\Dokumente und Einstellungen\F.B\DoctorWeb\Quarantine\kblrggka.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ang übersprungen
C:\Dokumente und Einstellungen\F.B\DoctorWeb\Quarantine\stdrun4.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.ja übersprungen
C:\Dokumente und Einstellungen\F.B\DoctorWeb\Quarantine\stdrun40.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.ja übersprungen
C:\Dokumente und Einstellungen\F.B\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\Lokale Einstellungen\Temp\~DFFA9F.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121320061214\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\F.B\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{CB35F8D5-DCC6-4EE5-AAF2-36786221D023}\RP48\A0016756.dll Infizierte Objekte: not-virus:Hoax.Win32.Renos.fw übersprungen
C:\System Volume Information\_restore{CB35F8D5-DCC6-4EE5-AAF2-36786221D023}\RP48\A0016763.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ang übersprungen
C:\System Volume Information\_restore{CB35F8D5-DCC6-4EE5-AAF2-36786221D023}\RP48\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\oakley.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\3U0E6V6.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{5E5A209D-9300-453A-95D6-C379EE52ADAD}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{80801486-4159-4D5C-838C-B8174B7E922D}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT06dde.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT06deb.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
sollte ich noch andere Rubriken scannen?

Lieb Gruss
Jauli
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12