Virusburst-entfernen durch Avenger funktioniert nicht!

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.12.2006, 13:41
...neu hier

Beiträge: 4
#1 Hi,

ich hoffe ich komme in Deine Obhut Sabina.Du scheinst ja hier wirklich alle Probleme lösen zu können.Ich stelle mal direkt die diversen logs rein.
Ich fange mal mit Hijackthis an:

Logfile of HijackThis v1.99.1
Scan saved at 13:23:17, on 13.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
G:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Konrad Larry\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Safety Bar - {18668683-731c-48fa-b1b9-ad013748fb00} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ICQ Lite] "G:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2564EB7F-FB99-4041-B154-C043A8ED7C46}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CA39B4A-FA76-41B6-B846-3587F446E7CC}: NameServer = 145.253.2.11,145.253.2.75
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE



COMBOFIX


Konrad Larry - 06-12-13 13:15:55,51 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Konrad Larry\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\WINDOWS\system32\ixt0.dll


((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 ))))))))))))))))))))))))))))))))))


2006-12-13 12:39 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\DoctorWeb
2006-12-13 12:36 2,106 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-13 12:35 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
2006-12-13 12:35 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2006-12-13 12:35 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-12-13 12:35 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-12-13 12:35 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-12-13 12:19 <DIR> d-------- C:\Avenger
2006-12-13 02:46 19,456 --a------ C:\WINDOWS\system32\rosdzop.dll
2006-12-07 21:11 <DIR> d-------- C:\Programme\QuickTime
2006-12-02 23:27 <DIR> d-------- C:\Programme\Kaspersky Lab
2006-12-02 23:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-11-29 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Azureus
2006-11-27 19:12 <DIR> d-------- C:\WINDOWS\Cache
2006-11-21 23:44 <DIR> d-------- C:\Temp
2006-11-20 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Opera
2006-11-20 00:07 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-11-20 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Canon
2006-11-20 00:06 <DIR> d-------- C:\Programme\Canon
2006-11-20 00:05 57,344 --a------ C:\WINDOWS\system32\CNQU111.DLL
2006-11-20 00:05 274,432 --a------ C:\WINDOWS\system32\CNQL1212.dll
2006-11-20 00:05 <DIR> d--h----- C:\CanoScan
2006-11-19 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Application Data
2006-11-18 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2006-11-18 22:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-11-17 10:18 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2006-11-17 03:11 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Ahead
2006-11-17 03:08 <DIR> d-------- C:\Programme\Nero
2006-11-17 03:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-11-17 02:42 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Incomplete
2006-11-17 02:34 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2006-11-16 21:02 <DIR> d-------- C:\Programme\Rainlendar2
2006-11-16 21:02 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\.rainlendar2
2006-11-16 21:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2006-11-16 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\AdobeUM
2006-11-16 20:53 <DIR> d-------- C:\Programme\Adobe
2006-11-16 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2006-11-16 20:52 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2006-11-16 20:52 <DIR> d-------- C:\Programme\Yahoo!
2006-11-16 20:50 64,512 --a------ C:\WINDOWS\system32\MSCC2DE.DLL
2006-11-16 20:50 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2006-11-16 20:50 158,208 --a------ C:\WINDOWS\system32\MSCMCDE.DLL
2006-11-16 20:50 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2006-11-16 20:50 <DIR> d-------- C:\Programme\PDFCreator
2006-11-16 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-16 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Adobe
2006-11-16 20:15 <DIR> d-------- C:\kav
2006-11-16 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Macromedia
2006-11-16 18:59 <DIR> d-------- C:\Programme\Java
2006-11-16 18:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2006-11-16 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2006-11-16 18:57 54,784 --a------ C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2006-11-16 18:57 12,464 --a------ C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2006-11-16 18:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2006-11-16 18:57 <DIR> d-------- C:\Programme\Autodesk
2006-11-16 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\.limewire
2006-11-16 18:56 <DIR> d-------- C:\WINDOWS\system32\Common Files
2006-11-16 18:56 <DIR> d-------- C:\Programme\Microsoft Office
2006-11-16 18:56 <DIR> d-------- C:\Programme\AnswerWorks 4.0
2006-11-16 18:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2006-11-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Autodesk
2006-11-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2006-11-16 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\vlc
2006-11-16 18:42 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2006-11-16 18:42 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2006-11-16 18:42 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2006-11-16 18:42 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2006-11-16 18:42 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2006-11-16 18:42 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-16 18:38 <DIR> d-------- C:\Programme\Lavasoft
2006-11-16 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Lavasoft
2006-11-16 18:34 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-11-16 18:34 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-11-16 18:34 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-11-16 18:34 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-16 18:34 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-11-16 18:34 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2006-11-16 18:34 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2006-11-16 18:34 <DIR> d-------- C:\Program Files
2006-11-16 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\ICQLite
2006-11-16 18:33 <DIR> d-------- C:\Programme\Winamp
2006-11-16 18:24 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2006-11-16 18:24 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2006-11-16 18:22 <DIR> d-------- C:\WINDOWS\ShellNew
2006-11-16 18:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-11-16 18:17 <DIR> dr-hsc--- C:\WINDOWS\system32\dllcache


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Rainlendar2"="C:\\Programme\\Rainlendar2\\Rainlendar2.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="G:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nForce Tray Options"="sstray.exe /r"
"ICQ Lite"="\"G:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"kav"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""
@=""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{bb720bab-2f75-456b-a850-04d77b20f6b8}"="impasse"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-13 13:17:28.76
C:\ComboFix.txt ... 06-12-13 13:17




und das ist bei der regsearch rausgekommen:



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 12:17:34 for strings:
; 'virusbursters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Vielen Dank schon mal im voraus....
Seitenanfang Seitenende
13.12.2006, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 konnerl82

das ist eine andere variante - ich muss "graben" ;)

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 16:59
...neu hier

Themenstarter

Beiträge: 4
#3 Hey Sabina,

vielen Dank für Deine schnelle Reaktion.
Den Cleanup kann ihc nicht runterladen.Service Temporarily Unavailable!!!!
Gibts eine andere Möglichkeit?Es ist nicht vergleichbar mit Sweepi etc?Das habe ich schon angewendet.
Also hier kommen erstmal die logs aus datfindbat:



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F413-A1E9

Verzeichnis von C:\WINDOWS\system32

13.12.2006 12:52 0 tmp.txt
13.12.2006 12:52 2.106 tmp.reg
13.12.2006 02:46 19.456 rosdzop.dll
13.12.2006 02:45 4.286 ot.ico
13.12.2006 02:45 4.286 ts.ico

10.12.2006 13:06 2.206 wpa.dbl
01.12.2006 05:20 79.360 swxcacls.exe
19.11.2006 04:31 191.384 FNTCACHE.DAT
16.11.2006 18:59 8.775 jupdate-1.5.0_08-b03.log
16.11.2006 17:45 239 NVU001.nvu
16.11.2006 17:44 311.604 perfh009.dat
16.11.2006 17:44 39.992 perfc009.dat
16.11.2006 17:44 48.156 perfc007.dat
16.11.2006 17:44 316.594 perfh007.dat
16.11.2006 17:44 723.744 PerfStringBackup.INI
16.11.2006 17:34 386 $winnt$.inf
16.11.2006 17:32 2.951 CONFIG.NT
16.11.2006 17:31 16.832 amcompat.tlb
16.11.2006 17:31 23.392 nscompat.tlb
16.11.2006 17:31 488 WindowsLogon.manifest


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F413-A1E9

Verzeichnis von C:\DOKUME~1\KONRAD~1\LOKALE~1\Temp

13.12.2006 16:25 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15387.html
13.12.2006 15:52 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}26845.html
13.12.2006 14:15 59.964 Adobelm_Cleanup.0001
13.12.2006 14:15 896 TWAIN.LOG
13.12.2006 14:15 3 Twain001.Mtx
13.12.2006 14:15 156 Twunk001.MTX
13.12.2006 14:11 0 Twunk002.MTX
13.12.2006 14:01 1.020 ~ROMFN_0000060C
13.12.2006 13:22 173 jusched.log
13.12.2006 13:18 16.384 ~DF375B.tmp
13.12.2006 13:18 512 ~DF14CC.tmp
13.12.2006 13:18 16.384 ~DF14BB.tmp
12 Datei(en) 97.453 Bytes
0 Verzeichnis(se), 4.363.505.664 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F413-A1E9

Verzeichnis von C:\WINDOWS

13.12.2006 16:07 1.299 wiadebug.log
13.12.2006 13:17 0 0.log
13.12.2006 13:17 50 wiaservc.log
13.12.2006 13:17 2.048 bootstat.dat
13.12.2006 13:07 966 WindowsUpdate.log
13.12.2006 03:07 116 NeroDigital.ini
20.11.2006 14:30 477 win.ini
16.11.2006 18:34 316.640 WMSysPr9.prx
16.11.2006 18:22 400 ODBC.INI
16.11.2006 17:49 558 SchedLgU.Txt
16.11.2006 17:43 3.611 Ascd_tmp.ini
16.11.2006 17:32 0 control.ini
16.11.2006 17:31 4.161 ODBCINST.INI
16.11.2006 17:31 749 WindowsShell.Manifest
16.11.2006 17:29 36 vb.ini
16.11.2006 17:29 37 vbaddin.ini
16.11.2006 17:25 0 Sti_Trace.log
16.11.2006 17:23 231 system.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F413-A1E9

Verzeichnis von C:\WINDOWS\Temp

13.12.2006 13:17 16.384 ~DFE783.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 4.366.749.696 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F413-A1E9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.12.2006 15:16 144 QTPlugin.inf
16.11.2006 17:31 65 desktop.ini
09.11.2006 14:36 5.019 swflash.inf
07.03.2003 11:25 114.600 IDropDEU.dll
14.02.2003 10:34 114.848 IDropENU.dll
14.02.2003 10:32 283.296 IDrop.ocx
6 Datei(en) 517.972 Bytes
0 Verzeichnis(se), 4.366.749.696 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F413-A1E9

Verzeichnis von C:\

13.12.2006 16:58 0 sys.txt
13.12.2006 16:58 542 down.txt
13.12.2006 16:57 276 tmp.txt
13.12.2006 16:57 3.393 system.txt
13.12.2006 16:56 946 systemtemp.txt
13.12.2006 16:54 98.263 system32.txt
13.12.2006 13:17 42.559 ComboFix.txt
13.12.2006 13:16 1.073.270.784 hiberfil.sys
13.12.2006 13:16 1.610.612.736 pagefile.sys
13.12.2006 12:52 2.730 rapport.txt
13.12.2006 12:32 398 avenger.txt
16.11.2006 17:32 0 CONFIG.SYS
16.11.2006 17:32 0 AUTOEXEC.BAT
16.11.2006 17:32 0 MSDOS.SYS
16.11.2006 17:32 0 IO.SYS
16.11.2006 17:28 211 boot.ini
31.10.2005 16:56 700.416 StubInstaller.exe
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
20 Datei(en) 2.685.036.954 Bytes
0 Verzeichnis(se), 4.366.745.600 Bytes frei



MFG Konnerl
Seitenanfang Seitenende
13.12.2006, 17:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\swxcacls.exe

poste den report
___________________________________________________________

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{18668683-731c-48fa-b1b9-ad013748fb00}

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4d74aaa-a178-4463-846b-b4bc87a024e0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f4d74aaa-a178-4463-846b-b4bc87a024e0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18668683-731c-48fa-b1b9-ad013748fb00}

Files to delete:
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\rosdzop.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 18:08
...neu hier

Themenstarter

Beiträge: 4
#5 Hey,

das kam bei virustotal raus:


AntiVir 7.3.0.15 12.13.2006 no virus found
Authentium 4.93.8 12.12.2006 could be a corrupted executable file
Avast 4.7.892.0 12.13.2006 no virus found
AVG 386 12.13.2006 no virus found
BitDefender 7.2 12.13.2006 no virus found
CAT-QuickHeal 8.00 12.13.2006 no virus found
ClamAV devel-20060426 12.13.2006 no virus found
DrWeb 4.33 12.13.2006 no virus found
eSafe 7.0.14.0 12.13.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.84 12.13.2006 no virus found
eTrust-Vet 30.3.3248 12.13.2006 no virus found
Ewido 4.0 12.13.2006 no virus found
Fortinet 2.82.0.0 12.13.2006 suspicious
F-Prot 3.16f 12.12.2006 no virus found
F-Prot4 4.2.1.29 12.12.2006 no virus found
Ikarus T3.1.0.26 12.13.2006 no virus found
Kaspersky 4.0.2.24 12.13.2006 no virus found
McAfee 4917 12.12.2006 no virus found
Microsoft 1.1804 12.13.2006 no virus found
NOD32v2 1919 12.13.2006 no virus found
Norman 5.80.02 12.13.2006 no virus found
Panda 9.0.0.4 12.13.2006 no virus found
Prevx1 V2 12.13.2006 no virus found
Sophos 4.12.0 12.13.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.131 12.10.2006 no virus found
UNA 1.83 12.13.2006 no virus found
VBA32 3.11.1 12.12.2006 no virus found
VirusBuster 4.3.15:9 12.13.2006 no virus found


Aditional Information
File size: 79360 bytes
MD5: ef5dc4cf7c39cfb4653859878c14d86c
SHA1: 82ab38d121c5d6ccce79d0e63bf51604cd3c9fd6
packers: UPX
packers: UPX
packers: UPX


Und was den Avenger angeht,so soll ich doch den Punkt Input Skript manually anklicken und dort deine Angaben reinhauen?Habe ich gaten.Fehlermeldung:selected file does not appear to be a valid script.
Was tun?
Seitenanfang Seitenende
13.12.2006, 18:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 versuche es noch mal - das script ist korrekt - lade diese Seite noch mal neu, und kopiere das script in Input Skript manually (bitte ohne "Zitat" reinkopieren)....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.12.2006, 21:08
...neu hier

Themenstarter

Beiträge: 4
#7 Okay.
Hat geklappt!Ich war mal wieder zu unfähig!Vielen Dank Sabina!
Das log von SmitfraudFix:

SmitFraudFix v2.129

Scan done at 21:04:46,34, 13.12.2006
Run from C:\Dokumente und Einstellungen\Konrad Larry\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\rosdzop.dll FOUND !
C:\WINDOWS\system32\ts.ico FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Konrad Larry


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Konrad Larry\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{bb720bab-2f75-456b-a850-04d77b20f6b8}"="impasse"

[HKEY_CLASSES_ROOT\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32]
@="C:\WINDOWS\system32\rosdzop.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32]
@="C:\WINDOWS\system32\rosdzop.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End






SmitFraudFix v2.129

Scan done at 21:05:05,20, 13.12.2006
Run from C:\Dokumente und Einstellungen\Konrad Larry\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{bb720bab-2f75-456b-a850-04d77b20f6b8}"="impasse"

[HKEY_CLASSES_ROOT\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32]
@="C:\WINDOWS\system32\rosdzop.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32]
@="C:\WINDOWS\system32\rosdzop.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\rosdzop.dll Deleted
C:\WINDOWS\system32\ts.ico Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Keine Ahnung ob das noch wichtig ist.Das Alert-Zeichen aus der Taskleiste ist jedenfalls verschwunden!Geil!
Ich hoffe wir hören uns nicht so schnell wieder!
Alles Gute

MFG konnerl
Seitenanfang Seitenende