Virus (slbipsch.exe, rdpwmsjt.exe)

#16 Hallo, ich habe auch diese komische pif-datei geladen und hab jetz diese exen am laufen.

wie kann ich jetz vorgehen um das wegzukriegen? woher krieg ich überhaupt mit welche dateien so auf meinem pc infiziert sind?
hab leider keine ahnung von dieser ganzen antiviren-vorgehensweise :/


hjt-log:
Logfile of HijackThis v1.99.1
Scan saved at 02:01:36, on 19.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Progz\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\brwconf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Progz\Free Download Manager v2.1\fdm.exe
C:\Progs\trayit\trayit!.exe
C:\Progz\WinRAR\WinRAR.exe
C:\WINDOWS\system32\msiexec.exe
C:\DOKUME~2\hugo\LOKALE~1\Temp\Rar$EX27.833\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Progz\Free Download Manager v2.1\iefdmcks.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
O4 - HKLM\..\RunOnce: [My Global Search Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Progz\Free Download Manager v2.1\fdm.exe -autorun
O4 - Startup: TrayIt!.lnk = C:\Progs\trayit\trayit!.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Progz\Free Download Manager v2.1\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Progz\Free Download Manager v2.1\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Progz\Free Download Manager v2.1\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Progz\Free Download Manager v2.1\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Progz\Free Download Manager v2.1\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Progz\Free Download Manager v2.1\dllink.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Progz\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Progz\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF06F11B-1C5A-4D48-BA08-CF96EE3111A4}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D24BCCB8-699D-411B-BC34-4C0F0F71A50E}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: sockspy.dll e1.dll vb5dmspo.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Progz\Sygate\SPF\smc.exe

#17 Hey Leute!! Also ich glaube ich habe gerade nen ganz dummen fehler gemacht!!

Ich habe von Kumpel nen Bild erwartet!
Weil ich halt viel mit Bild bearbeitungs Programmen arbeite hatte ich mir nichts gedacht und habe diese dumme seite geöfnet!!

Jetzt hab ich den Schei...!! So ein Dummer Vierus der von mein McAfee immer wieder gelöscht wird aber dann doch immer wieder auf taucht!!

Ich brauche Hilfe!! Wirklich ich habe oben gesehen das es euch genau so ging!!
Aber ich habe von den ganzen Tipps da oben Kopfschmerzen!! Ich kapiere nichts!!
Bin voll der Noob!!

Ich hoffe auf Hilfe!! Einen netten Menschen der mich durch dieses Prob. führt ohne mein Windows neu zu machen!!

Bitte Help!!

#18 blaiz + Robert777

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere (nach Anleitung auf der Avenger-Seite) rein:

Zitat

Files to delete:
%windir%\c6wsq6.reg
%windir%\cesm9q.reg
%windir%\eevmwk.reg
%windir%\ais32.exe
%windir%\cc1.exe
%windir%\cc2.exe
%windir%\cc3.exe
%windir%\cc4.exe
%windir%\cc5.exe
%windir%\chater.exe
%windir%\hv4e05.dll
%windir%\kheu93.dll
%windir%\md2icut9a2.dll
%windir%\msout.exe
%windir%\msupdtwiz.exe
%windir%\msupdtwiz.c
%windir%\msupdtwiz.s
%windir%\msupdtwiz.z
%windir%\msupdtwiz.dat
%windir%\semr8u8j8n.dll
%windir%\serrv.c
%windir%\serrv.exe
%windir%\serrv.wax
%windir%\serrv.dat
%windir%\serv.exe
%windir%\serv.wax
%windir%\smm126.exe
%windir%\sserrvv.exe
%windir%\sserrvv.wax
%windir%\sserrvv.c
%windir%\sserrvv.s
%windir%\sserrvv.z
%windir%\t2serv.dll
%windir%\t2serv.s
%windir%\t2serv.wax
%windir%\twain22.exe
%windir%\attcfg.tmp
%windir%\avistat.tmp
%windir%\concfg.tmp
%windir%\dbmdata.tmp
%windir%\egadata.tmp
%windir%\sc.tmp
%windir%\jw9ucgel.scf
%windir%\b6iqdkku.scf
%windir%\dqpdroc.ini
%windir%\brwmark.ini
%windir%\sc.xml1
%windir%\system32\actidmoc.exe
%windir%\system32\alerter.exe
%windir%\system32\atrconf.exe
%windir%\system32\attmgr32.dll
%windir%\system32\attprf32.dll
%windir%\system32\attstat.dll
%windir%\system32\audconf.exe
%windir%\system32\audmgr32.dll
%windir%\system32\audstat.dll
%windir%\system32\audprf32.dll
%windir%\system32\audperf.exe
%windir%\system32\brwconf.exe
%windir%\system32\brwmgr32.dll
%windir%\system32\brwperf.exe
%windir%\system32\brwstat.dll
%windir%\system32\cfgd3d.dll
%windir%\system32\cfgmmprm.dll
%windir%\system32\confatt.dll
%windir%\system32\confaud.dll
%windir%\system32\confbrw.dll
%windir%\system32\confcon.dll
%windir%\system32\confega.dll
%windir%\system32\conmgr32.dll
%windir%\system32\conperf.exe
%windir%\system32\conprf32.dll
%windir%\system32\constat.dll
%windir%\system32\cp8xpqj.dll
%windir%\system32\cssewmpd
%windir%\system32\decconf.exe
%windir%\system32\dfssrasc.dll
%windir%\system32\dfssrasc.exe
%windir%\system32\diagisr.dll
%windir%\system32\diagd3d.dll
%windir%\system32\dmimmdt2.exe
%windir%\system32\dpugmswe.dll
%windir%\system32\dpvacdfv.dll
%windir%\system32\dssconf.exe
%windir%\system32\dxtmsft3.dll
%windir%\system32\e1.dll
%windir%\system32\egaavi.exe
%windir%\system32\egamgr32.dll
%windir%\system32\egastat.dll
%windir%\system32\egperf32.dll
%windir%\system32\evenncob.dll
%windir%\system32\fsxsh4.dll
%windir%\system32\gtmqf608r7.dll
%windir%\system32\hypewmv9.exe
%windir%\system32\ipsecmon.exe
%windir%\system32\ipsmwebh.exe
%windir%\system32\ipxpextm.exe
%windir%\system32\ipxwshel.exe
%windir%\system32\iuennwcf.dll
%windir%\system32\ixsswmas.exe
%windir%\system32\j2t3crh.dll
%windir%\system32\jgdwadsn.dll
%windir%\system32\jgdwadsn.exe
%windir%\system32\kbdfwshe.exe
%windir%\system32\lprmneth.dll
%windir%\system32\lprmneth.exe
%windir%\system32\ml7swr.exe
%windir%\system32\mp4sglmf.dll
%windir%\system32\mqadscp3.exe
%windir%\system32\msihftpw.dll
%windir%\system32\msisnwcf.dll
%windir%\system32\msrdtscf.exe
%windir%\system32\mstsodbc.exe
%windir%\system32\narrwshr.dll
%windir%\system32\netfrtm.dll
%windir%\system32\offfmsre.dll
%windir%\system32\psapdani.dll
%windir%\system32\psbaavic.dll
%windir%\system32\psbamtxe.dll
%windir%\system32\regaufat.dll
%windir%\system32\rtutdmin.dll
%windir%\system32\samsusrr.dll
%windir%\system32\samsusrr.exe
%windir%\system32\scsm.exe
%windir%\system32\shsvmdim.dll
%windir%\system32\slbipsch.dll
%windir%\system32\snmpmmcn.dll
%windir%\system32\sockspy.dll
%windir%\system32\statd3d.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\trkwpipa.exe
%windir%\system32\tscfvjoy.dll
%windir%\system32\ujn6oqt.dll
%windir%\system32\ulibofff.exe
%windir%\system32\uregdeve.dll
%windir%\system32\uregdeve.exe
%windir%\system32\vbscqdv.exe
%windir%\system32\vdshlicw.exe
%windir%\system32\vmhevnet.dll
%windir%\system32\vmhevnet.exe
%windir%\system32\w3sskbda.dll
%windir%\system32\winbpowr.exe
%windir%\system32\wmnecomc.dll
%windir%\system32\wmpcskdl.dll
%windir%\system32\wshtlprh.dll
%windir%\system32\wupstlnt.dll
%windir%\system32\xactcomr.exe
%windir%\system32\yapconf.exe

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\attmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\brwmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\conmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\decstat
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dfssrasc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jgdwadsn
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psbamtxe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\samsusrr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uregdeve
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | audiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | brwdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | chater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ciodiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | davctool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | egdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ipxwshel
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | mqadscp3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | msupdtwiz
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sserrvv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | t2serv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ulibofff

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 hallo Sabina! Auch bei mir ein ähnliches Problem!

Hier meine Logs!

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C875-1467

Verzeichnis von C:\WINDOWS\system32

19.12.2006 16:03 2.206 wpa.dbl
18.12.2006 19:43 126.976 brwstat.dll
18.12.2006 19:43 49.152 brwprf32.dll
18.12.2006 19:43 49.152 brwconf.exe
18.12.2006 19:43 53.248 confbrw.dll
18.12.2006 19:43 335.872 brwmgr32.dll
18.12.2006 19:43 40.960 brwperf.exe
18.12.2006 19:43 114.688 slbipsch.dll
18.12.2006 19:42 20.480 e1.dll
18.12.2006 19:42 20.480 rdpwmsjt.exe
18.12.2006 19:42 28.672 vb5dmspo.dll
08.12.2006 00:13 10.716.584 MRT.exe
07.12.2006 07:40 2.362.184 wmvcore.dll
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
08.11.2006 06:06 679.424 inetcomm.dll
07.11.2006 21:03 413.696 vbscript.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C875-1467

Verzeichnis von C:\DOKUME~1\MKovacic\LOKALE~1\Temp

19.12.2006 16:05 289 datFind-1.zip
19.12.2006 16:04 16.384 ~DF6C33.tmp
19.12.2006 16:03 512 ~DFCCA0.tmp
19.12.2006 16:03 16.384 ~DFCC93.tmp
19.12.2006 16:03 16.384 ~DF6D69.tmp
19.12.2006 15:54 289 datFind.zip
19.12.2006 14:15 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}9026.html
19.12.2006 14:14 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}32498.html
19.12.2006 14:00 0 64o8.tmp
19.12.2006 12:56 0 204920.dmp
19.12.2006 12:33 596 hpzcoi14.log
19.12.2006 12:33 596 hpzcoi13.log
19.12.2006 12:33 596 hpzcoi12.log
19.12.2006 12:33 596 hpzcoi11.log
19.12.2006 00:25 0 w9bAA.tmp
19.12.2006 00:22 0 cod84.tmp
19.12.2006 00:07 0 cqo55.tmp
18.12.2006 23:58 0 a8o54.tmp
18.12.2006 19:43 126.976 2A.tmp
18.12.2006 18:18 0 wwn8.tmp
18.12.2006 18:11 0 cj97.tmp
18.12.2006 17:02 0 5we29.tmp
18.12.2006 17:02 0 z8h28.tmp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C875-1467

Verzeichnis von C:\WINDOWS

19.12.2006 16:04 1.069.604 WindowsUpdate.log
19.12.2006 16:03 0 0.log
19.12.2006 16:03 2.048 bootstat.dat
19.12.2006 16:02 32.596 SchedLgU.Txt
19.12.2006 14:35 0 b6iqdkku.scf
19.12.2006 13:06 37.992 spupdsvc.log
19.12.2006 12:37 23.862 ie7_main.log
19.12.2006 12:36 92.360 iis6.log
19.12.2006 12:36 204.296 comsetup.log
19.12.2006 12:36 123.056 ntdtcsetup.log
19.12.2006 12:36 229.304 tsoc.log
19.12.2006 12:36 1.393 imsins.log
19.12.2006 12:36 32.470 ocmsn.log
19.12.2006 12:36 63.543 ie7.log
19.12.2006 12:36 295.443 ocgen.log
18.12.2006 19:43 0 attcfg.tmp
18.12.2006 19:43 0 concfg.tmp
18.12.2006 19:43 0 egadata.tmp
18.12.2006 17:46 512 randseed.rnd
14.12.2006 19:23 54.156 QTFont.qfn
14.12.2006 03:02 11.561 KB925398.log
14.12.2006 03:02 12.833 KB923689.log
14.12.2006 03:01 11.584 KB926255.log
14.12.2006 03:01 12.269 KB923694.log
11.12.2006 14:52 3.043 mozver.dat
11.12.2006 00:09 27.573 wmsetup.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C875-1467

Verzeichnis von C:\WINDOWS\Temp

19.12.2006 16:03 409 WGANotify.settings
19.12.2006 16:03 255 WGAErrLog.txt
19.12.2006 13:26 138.828 MpCmdRun.log
18.12.2006 11:35 190.494 MpSigStub.log
14.12.2006 03:02 596 hpzcoi07.log
14.12.2006 03:02 596 hpzcoi06.log
14.12.2006 03:02 596 hpzcoi05.log
14.12.2006 03:02 596 hpzcoi04.log
07.10.2006 12:52 524.288 TMP0000002B6F41FB1C154C182E
06.10.2006 12:45 524.288 TMP000000051643B2C227CA546B
20.07.2006 20:06 209 hpdbglog.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C875-1467

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 12:00 5.019 swflash.inf
27.03.2006 07:21 65 desktop.ini
26.05.2005 03:19 291 wuweb.inf
3 Datei(en) 5.375 Bytes
0 Verzeichnis(se), 4.989.362.176 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C875-1467

Verzeichnis von C:\

19.12.2006 16:09 0 sys.txt
19.12.2006 16:09 392 down.txt
19.12.2006 16:09 1.551 tmp.txt
19.12.2006 16:08 11.020 system.txt
19.12.2006 16:08 40.561 systemtemp.txt
19.12.2006 16:07 98.126 system32.txt
19.12.2006 16:03 536.268.800 hiberfil.sys
19.12.2006 16:03 805.306.368 pagefile.sys
07.11.2006 01:01 8.132 hpfr5700.log
28.03.2006 12:32 167 bcmwl5.log
27.03.2006 17:56 192 BcBtRmv.log
27.03.2006 12:23 211 boot.ini

#20 So habe das jetzt so gemacht wies auf der Seite stand!! Habe den Text eingefügt und dann die Ampel gedrückt!! Dann hat er neu gestartet und mir dies angezeigt!!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vynancbo

*******************

Script file located at: \??\C:\Program Files\oaahpeba.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\Screem\Desktop\Registry Repair.Ink for deletion
Deletion of file C:\Documents and Settings\Screem\Desktop\Registry Repair.Ink failed!

edit


Aber der Virus is immer noch da?? Was nu?? Ich bin total hilflos!!
Wie muss ich denn jetzt weiter verfahren!!

#21 Same Problem Hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:05:54, on 19.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
F:\Programme\Sygate Firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
F:\Programme\QuickTime\qttask.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\qip\qip.exe
F:\Programme\teamspeak2_RC2\TeamSpeak.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\slbipsch.exe
C:\DOKUMENTE UND EINSTELLUNGEN\MARTIN\DESKTOP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: VCS3IESupport Class - {B9D6B3C2-09AD-464A-8162-8C55114C808A} - F:\Programme\AV VCS 3.0 DIAMOND\Vcs3RT.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [QIP2005] C:\Programme\qip\qip.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\System32\slbipsch.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - F:\Programme\Sygate Firewall\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



vielen dank für die hilfe

#22 Leute ich glaube ich habe es hin bekommen!! Ich habe einfach mein altes
Antiviren Programm deinstalliert. Und habe jetzt dafür Antivir oben.!! Antivir hat alle Daten gefunden und ohne Probleme gelöscht!! Denke ich mal!!

Denn ich habe jetzt 3 mal nen Check gemacht und da waren keine Vieren mehr dabei! Vorher waren es noch ganz schön viele. Naja auf jeden hoffe ich mal das es jetzt vorbei ist mit diesen Viren Mist! Ich hasse ICQ aber ich bin ja selber schuld was mache ich auch son Schei...!!

Ich bedanke mich an den Leuten die mir geholfen haben!! Vielen dank!!

#23 Hallodri

arbeite das avengerscript (siehe oben) ab, da sind auch deine Viren mit enthalten und lade unbedingt den CleanUp,
http://virus-protect.org/cleanup.html

»»
dann berichte, ob die WindowsUpdates funktionieren
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Robert777

man muss schon sehr beschranekt sein und ein Beispiel in den Avenger zu kopieren, waehrend das echte Script ellenlang im Forum steht (siehe oben)
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Pyror

arbeite das avengerscript (siehe oben ab - es ist komplett)

wenn das erledigt ist:
««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Ach so!! Ahh ups!! Ich habe doch gesagt ich habe kein Ahnung!!

#27 Robert777

dann wende das Avengerscript siehe oben an
__________
MfG Sabina

rund um die PC-Sicherheit

#28 So also ich habe das jetzt dort reinkopiert!! In dieses Programm!!

Und das habe ich jetzt nach dem Neustart bekommen!! Also ich weiß nicht irgend was mach ich falsch!!
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vgapomeo

*******************

Script file located at: \??\C:\WINDOWS\ijfuifer.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\attcfg.tmp deleted successfully.
File C:\WINDOWS\concfg.tmp deleted successfully.
File C:\WINDOWS\egadata.tmp deleted successfully.
File C:\WINDOWS\b6iqdkku.scf deleted successfully.
File C:\WINDOWS\system32\brwperf.exe deleted successfully.
File C:\WINDOWS\system32\brwstat.dll deleted successfully.
File C:\WINDOWS\system32\confbrw.dll deleted successfully.

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\brwmgr deleted successfully.

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch deleted successfully.

#29 Robert777

es ist korrekt - dieses Script enthaelt alle Viren, die bisher aufgetreten sind - und nur einige davon waren auf deinem Rechner - und die wurden auch geloescht

File C:\WINDOWS\attcfg.tmp deleted successfully.
File C:\WINDOWS\concfg.tmp deleted successfully.
File C:\WINDOWS\egadata.tmp deleted successfully.
File C:\WINDOWS\b6iqdkku.scf deleted successfully.
File C:\WINDOWS\system32\brwperf.exe deleted successfully.
File C:\WINDOWS\system32\brwstat.dll deleted successfully.
File C:\WINDOWS\system32\confbrw.dll deleted successfully.

»»
posye dieses log
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Also is mein rechner wider Vieren rein??