Virus (slbipsch.exe, rdpwmsjt.exe)

#31 Robert777

ja
ist wieder sauber
allerdings werden die Windowsupdates nicht funktionieren - versuche es mal (hast du XP- und SP2 geladen ? )
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Ja habe beides drauf!!

#33 dann versuche die Windowsupdates zu machen ? klappt es ??? - berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Aber was meinst du denn mit Windows Updates?? Die von Microsoft!!
Da bin ich auf dem neusten stand?? Wenn du das meinst!

#35 der Virus loescht aus der Registry alles, was mit den Windowsupdates zu tun hat, deshalb: versuche sie mal zu machen und berichte, ob es klappt.
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Wichtige Updates
Es stehen keine wichtigen Updates für Ihren Computer zur Verfügung. Kehren Sie zu unserer Startseite zurück, und klicken Sie auf Benutzerdefinierte Suche, um nach optionalen Updates zu suchen.

#37 Robert777

nehmen wir mal an, es ist alles korrekt - falls in Zukunft die Windowsupdates nicht klappen sollten - melde dich
bis dahin alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Sabina!! Danke !! Vielen dank!! Das du mir in meine Not geholfen hast! Bis zum nägsten mal!!

Und ich wünsche dir schöne Weihnachten und einen guten Rutsch ins Neue Jahr!!

#39 Hallo Sabine

brauche auch deine Hilfe. hab diese slbisch.exe auch eingefangen.

Hier mein Log:


Logfile of HijackThis v1.99.1
Scan saved at 12:02:53, on 22.12.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\512i digital\512id.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINNT\system32\internat.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Lilongli\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qu123.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {D2C3386E-F8AC-8B5C-8EB8-85DA6ECD6AE2} - (no file)
R3 - URLSearchHook: (no name) - {EC7D779D-EA0E-9FA9-2A92-C79E8B3654ED} - C:\WINNT\system32\njciruf.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [512id] C:\Programme\512i digital\512id.exe /minimize
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINNT\system32\avhufamh.dll",setvm
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [im_autorn] C:\WINNT\system32\im_2.exe
O4 - HKCU\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - HKCU\..\Run: [german.exe] C:\WINNT\system32\wintems.exe
O4 - HKCU\..\Run: [Steam] D:\Halflife2\steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Cwie] "C:\PROGRA~1\COMMON~1\ECURIT~1\scanregw.exe" -vt yazb
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ImageFox.lnk = C:\Programme\ACD Systems\ImageFox\ImageFox.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: >>> HARDCORE MOVIES <<< - javascript:{document.location='http://neosexvideo.com/webmasters/df042/access.htm';}
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F210258-AB6E-4016-A804-98BDAD4EFEBE}: NameServer = 194.25.2.129
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)

#40 Slashgordon

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#41 hie mein Datfind LOG:


Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 180E-14BC

Verzeichnis von C:\WINNT\system32

22.12.2006 12:21 791.463 prqss.ini
22.12.2006 12:19 38.399 hmafuhva.ini
22.12.2006 12:19 22.602 nvapps.xml
21.12.2006 22:00 753.304 prqss.bak2
20.12.2006 13:20 16.384 Perflib_Perfdata_228.dat
17.12.2006 11:45 16.384 Perflib_Perfdata_230.dat
16.12.2006 19:18 114.688 slbipsch.dll
16.12.2006 19:18 20.480 e1.dll
16.12.2006 19:18 24.576 mcd3mscm.dll
16.12.2006 19:18 20.480 rdpwmsjt.exe
16.12.2006 19:18 28.672 vb5dmspo.dll
16.12.2006 10:07 16.384 Perflib_Perfdata_224.dat
15.12.2006 21:57 44.052 phtoubcx.dll
14.12.2006 22:13 126.996 yfyrqkai.dll
14.12.2006 21:54 118.804 avhufamh.dll
07.12.2006 22:14 126.996 sqgjkexj.dll
01.12.2006 23:49 8.833 jupdate-1.5.0_09-b03.log
30.11.2006 22:15 126.996 ibkhqwjf.dll
27.11.2006 21:20 42.516 fwwispdv.dll
27.11.2006 21:20 88.340 hyjjppnk.exe
23.11.2006 19:45 38.420 cljqdfvh.dll
23.11.2006 19:45 126.996 efkwnkeg.dll
16.11.2006 19:41 126.996 caeketbb.dll
12.11.2006 14:33 494 xjtyrsbq.txt
11.11.2006 11:19 494 idffetso.txt


Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 180E-14BC

Verzeichnis von C:\DOKUME~1\Lilongli\LOKALE~1\Temp

22.12.2006 10:05 49.152 ~DFAC77.tmp
27.11.2004 18:53 24.576 IadHide4.dll
2 Datei(en) 73.728 Bytes
0 Verzeichnis(se), 23.219.671.040 Bytes frei


Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 180E-14BC

Verzeichnis von C:\WINNT

22.12.2006 11:20 116 NeroDigital.ini
22.12.2006 00:31 32.598 SchedLgU.Txt
20.12.2006 13:38 3.718 mozver.dat
19.12.2006 00:33 1.288.470 ShellIconCache
16.12.2006 20:45 0 b6iqdkku.scf
16.12.2006 20:41 3.144.800 ugfvdf.dll
12.12.2006 23:25 368 ST6UNST.001
11.12.2006 23:18 847 ST6UNST.000
04.12.2006 22:26 3.301 wmsetup.log
04.12.2006 22:26 854.610 setupapi.log
14.11.2006 00:10 22.800 TMFilter.log
11.11.2006 11:28 494 ^yxobaxc.txt
11.11.2006 11:20 494 wxwfocvw.txt
09.11.2006 17:35 231 system.ini
07.11.2006 23:20 1.467 win.ini
22.10.2006 18:38 316.640 WMSysPr9.prx


Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 180E-14BC

Verzeichnis von C:\WINNT\Downloaded Program Files

22.06.2006 10:41 5.032 swflash.inf



Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 180E-14BC

Verzeichnis von C:\

22.12.2006 12:23 0 sys.txt
22.12.2006 12:22 601 down.txt
22.12.2006 12:22 107 tmp.txt
22.12.2006 12:22 15.420 system.txt
22.12.2006 12:22 344 systemtemp.txt
22.12.2006 12:21 111.923 system32.txt
22.12.2006 12:19 14.470 vm404.log
22.12.2006 09:53 805.306.368 pagefile.sys
16.12.2006 18:25 23.040 Never Let You Down Lyrics.doc
16.12.2006 18:23 21.504 Dovelamore Lyrics.doc
16.12.2006 18:22 20.480 The World is not Enough Lyrics.doc
11.12.2006 00:06 1.430 hph7350.log
11.12.2006 00:06 0 hpfr5550.xml
14.11.2006 16:16 5.733 backup.reg
14.11.2006 00:10 126.976 zip.exe
14.11.2006 00:10 2.652 avexport.bat
11.11.2006 11:27 588 bavfurvc.txt
11.11.2006 11:24 2.381.641 backup-Di 14.11.2006-16.16.20,96.zip
11.11.2006 11:18 494 pvhhnnil.txt
11.11.2006 10:01 871 VundoFix.txt



hier COMBOFIX:


Lilongli - Fr 22.12.2006 12:24:14,89 Service Pack 4
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Lilongli\Desktop\Neuer Ordner"

((((((((((((((((((((((((((((((( Files Created from 2006-11-22 to 2006-12-22 ))))))))))))))))))))))))))))))))))


2006-12-16 20:41 3,144,800 --a------ C:\WINNT\ugfvdf.dll
2006-12-16 19:18 28,672 --a------ C:\WINNT\system32\vb5dmspo.dll
2006-12-16 19:18 24,576 --a------ C:\WINNT\system32\mcd3mscm.dll
2006-12-16 19:18 20,480 --a------ C:\WINNT\system32\rdpwmsjt.exe
2006-12-16 19:18 20,480 --a------ C:\WINNT\system32\e1.dll
2006-12-16 19:18 114,688 --a------ C:\WINNT\system32\slbipsch.dll
2006-12-15 21:57 44,052 --a------ C:\WINNT\system32\phtoubcx.dll
2006-12-14 22:13 126,996 --a------ C:\WINNT\system32\yfyrqkai.dll
2006-12-14 21:54 118,804 --a------ C:\WINNT\system32\avhufamh.dll
2006-12-07 22:14 126,996 --a------ C:\WINNT\system32\sqgjkexj.dll
2006-11-30 22:15 126,996 --a------ C:\WINNT\system32\ibkhqwjf.dll
2006-11-27 21:20 88,340 --a------ C:\WINNT\system32\hyjjppnk.exe
2006-11-27 21:20 42,516 --a------ C:\WINNT\system32\fwwispdv.dll
2006-11-23 19:45 38,420 --a------ C:\WINNT\system32\cljqdfvh.dll
2006-11-23 19:45 126,996 --a------ C:\WINNT\system32\efkwnkeg.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-22 12:20 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-22 12:16 -------- d-------- C:\Programme\CleanUp!
2006-12-21 22:00 753304 ---hs---- C:\WINNT\system32\prqss.bak2
2006-12-20 13:38 -------- d-------- C:\Programme\DivX
2006-12-17 14:25 -------- d-------- C:\Programme\eMule
2006-12-11 22:59 -------- d-------- C:\Dokumente und Einstellungen\Lilongli\Anwendungsdaten\AdobeUM
2006-12-04 22:26 -------- d-------- C:\Programme\Windows Media Player
2006-12-01 23:49 -------- d-------- C:\Programme\Java
2006-11-27 21:20 -------- d-------- C:\Programme\VSAdd-in
2006-11-27 21:20 -------- d-------- C:\Dokumente und Einstellungen\Lilongli\Anwendungsdaten\SearchToolbarCorp
2006-11-26 14:29 -------- d-------- C:\Dokumente und Einstellungen\Lilongli\Anwendungsdaten\Skype
2006-11-23 00:34 -------- d-------- C:\Programme\Paragon
2006-11-23 00:33 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-23 00:30 -------- d-------- C:\Programme\Paragon2
2006-11-16 19:41 126996 --a------ C:\WINNT\system32\caeketbb.dll
2006-11-14 16:16 5733 --a------ C:\backup.reg
2006-11-14 00:10 2652 --a------ C:\avexport.bat
2006-11-14 00:10 126976 --a------ C:\zip.exe
2006-11-11 10:10 698134 ---hs---- C:\WINNT\system32\prqss.bak1
2006-11-11 10:10 692276 ---hs---- C:\WINNT\system32\ssqrp.dll
2006-11-09 17:24 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-11-09 17:09 -------- d-------- C:\Dokumente und Einstellungen\Lilongli\Anwendungsdaten\Talkback
2006-11-02 20:22 -------- d-------- C:\Programme\Latein-W”rterbuch
2006-10-28 20:35 -------- d-------- C:\Dokumente und Einstellungen\Lilongli\Anwendungsdaten\teamspeak2
2006-10-22 18:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Adaptec Shared
2006-10-20 21:29 98304 --a------ C:\WINNT\system32\CmdLineExt.dll
2006-09-25 16:45 666240 --a------ C:\WINNT\system32\aswBoot.exe
2006-09-25 16:37 90112 --a------ C:\WINNT\system32\AVASTSS.scr


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"LDM"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\BackWeb-8876480.exe"
"internat.exe"="internat.exe"
"im_autorn"="C:\\WINNT\\system32\\im_2.exe"
"key2"="C:\\WINNT\\system32\\winlog.exe"
"german.exe"="C:\\WINNT\\system32\\wintems.exe"
"Steam"="D:\\Halflife2\\steam\\\\Steam.exe -silent"
"Cwie"="\"C:\\PROGRA~1\\COMMON~1\\ECURIT~1\\scanregw.exe\" -vt yazb"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"C-Media Mixer"="Mixer.exe /startup"
"pccguide.exe"="\"C:\\Programme\\Trend Micro\\PC-cillin 2002\\pccguide.exe\""
"PCCClient.exe"="\"C:\\Programme\\Trend Micro\\PC-cillin 2002\\PCCClient.exe\""
"Pop3trap.exe"="\"C:\\Programme\\Trend Micro\\PC-cillin 2002\\Pop3trap.exe\""
"NeroCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"TkBellExe"="C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe -osboot"
"Logitech Utility"="Logi_MwX.Exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"SoundMan"="SOUNDMAN.EXE"
"512id"="C:\\Programme\\512i digital\\512id.exe /minimize"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINNT\\system32\\NvMcTray.dll,NvTaskbarInit"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"DllRunning"="rundll32.exe \"C:\\WINNT\\system32\\avhufamh.dll\",setvm"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,c8,01,00,00,00,00,00,00,38,02,00,00,c8,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqrp

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: Fri 2006-12-22 12:24:45.82
C:\ComboFix.txt ... 06-12-22 12:24

#42 Slashgordon

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{74DD705D-6834-439C-A735-A6DBE2677452}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|DllRunning

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74DD705D-6834-439C-A735-A6DBE2677452}
HKLM\SOFTWARE\Classes\CLSID\{74DD705D-6834-439C-A735-A6DBE2677452}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqrp

Files to delete:
C:\WINNT\b6iqdkku.scf
C:\WINNT\ugfvdf.dll
C:\WINNT\system32\im_2.exe
C:\WINNT\system32\wintems.exe
C:\WINNT\system32\winlog.exe
C:\WINNT\system32\prqss.ini
C:\WINNT\system32\hmafuhva.ini
C:\WINNT\system32\prqss.bak2
C:\WINNT\system32\prqss.bak1
C:\WINNT\system32\slbipsch.dll
C:\WINNT\system32\e1.dll
C:\WINNT\system32\mcd3mscm.dll
C:\WINNT\system32\rdpwmsjt.exe
C:\WINNT\system32\vb5dmspo.dll
C:\WINNT\system32\phtoubcx.dll
C:\WINNT\system32\yfyrqkai.dll
C:\WINNT\system32\avhufamh.dll
C:\WINNT\system32\sqgjkexj.dll
C:\WINNT\system32\ibkhqwjf.dll
C:\WINNT\system32\fwwispdv.dll
C:\WINNT\system32\hyjjppnk.exe
C:\WINNT\system32\cljqdfvh.dll
C:\WINNT\system32\efkwnkeg.dll
C:\WINNT\system32\caeketbb.dll
C:\WINNT\system32\ssqrp.dll

Folders to delete:
C:\Programme\VSAdd-in
C:\Dokumente und Einstellungen\Lilongli\Anwendungsdaten\SearchToolbarCorp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

---------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qu123.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R3 - URLSearchHook: (no name) - {D2C3386E-F8AC-8B5C-8EB8-85DA6ECD6AE2} - (no file)

R3 - URLSearchHook: (no name) - {EC7D779D-EA0E-9FA9-2A92-C79E8B3654ED} - C:\WINNT\system32\njciruf.dll (file missing)

O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll

O4 - HKCU\..\Run: [im_autorn] C:\WINNT\system32\im_2.exe

O4 - HKCU\..\Run: [key2] C:\WINNT\system32\winlog.exe

O4 - HKCU\..\Run: [german.exe] C:\WINNT\system32\wintems.exe

O4 - HKCU\..\Run: [Cwie] "C:\PROGRA~1\COMMON~1\ECURIT~1\scanregw.exe" -vt yazb

PC neustarten

»»
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

»»
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#43 Wenn ich die sachen bei avenger reinkopiere kommt ein Fehler.

"Syntax error in line"

#44 ich habe editiert - war ein fehler im script - versuche es noch mal
__________
MfG Sabina

rund um die PC-Sicherheit

#45 So hier scanreport von Anti-spyware:

Zitat

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 20:07:44 23.12.2006

+ Scan-Ergebnis:



C:\Programme\admin\AdmDll.dll -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.20 : Gesäubert.
C:\Programme\admin\raddrv.dll -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.20 : Gesäubert.
C:\Programme\admin\r_server.exe -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.21 : Gesäubert.
C:\Programme\admin\radmin.exe -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.21 : Gesäubert.
C:\WINNT\system32\raddrv.dll -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.22 : Gesäubert.
:mozilla.186:C:\Dokumente und Einstellungen\Lilongli\Anwendungsdaten\Mozilla\Firefox\Profiles\mo6if833.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.187:
C:\avenger\backup.zip/avenger/VSAdd-in/VSAdd-in.dll -> Trojan.Agent.acl : Gesäubert.
C:\avenger\backup.zip/avenger/slbipsch.dll -> Worm.Warezov.eq : Gesäubert.
C:\avenger\backup.zip/avenger/e1.dll -> Worm.Warezov.et : Gesäubert.
C:\avenger\backup.zip/avenger/mcd3mscm.dll -> Worm.Warezov.et : Gesäubert.
C:\avenger\backup.zip/avenger/rdpwmsjt.exe -> Worm.Warezov.et : Gesäubert.
C:\avenger\backup.zip/avenger/vb5dmspo.dll -> Worm.Warezov.et : Gesäubert.


::Berichtende

Danke Sabina! jetzt ist alles wieder supi!