Virus: W32/Stration.gen@MM

Thema ist geschlossen!
Thema ist geschlossen!
#0
18.12.2006, 17:27
Member

Beiträge: 34
#1 Hallo

Seit 2 Tagen bringt mir McAfee Virusscan andauernd follgende Meldung:

Virus gefunden

Datei: mcd3mscm.dll
Virusname: W32/Stration.gen@MM
Dateipfad: F:\Windows\system32
Status: Zur Reinigung war ein Löschvorgang erforderlich.

Danach empfielt Mcafee den PC komplett zu durchsuchen was aber nix daran ändert das das Ding immer wieder kommt.

Ich bin mir fast sicher das ich mir das Ding über ICQ eingefangen habe und zwar hab ich es von jemandem auf meiner Friendsliste einen Link erhalten unter dem Vorwand "my Picture" und anscheinend hat sich das ganze dann auch direkt an meine Kontaktliste weiterverschickt.

Logfile of HijackThis v1.99.1
Scan saved at 17:46:52, on 18.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Java\jre1.5.0_09\bin\jusched.exe
F:\Programme\McAfee.com\VSO\mcvsshld.exe
F:\Programme\McAfee.com\VSO\oasclnt.exe
F:\PROGRA~1\mcafee.com\agent\mcagent.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\WINDOWS\system32\brwconf.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
F:\Programme\Messenger\msmsgs.exe
f:\progra~1\mcafee.com\vso\mcvsescn.exe
F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
f:\progra~1\mcafee.com\vso\mcvsftsn.exe
f:\programme\mcafee.com\agent\mcdetect.exe
f:\PROGRA~1\mcafee.com\vso\mcshield.exe
f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
F:\Programme\iPod\bin\iPodService.exe
F:\WINDOWS\system32\wscntfy.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\WINDOWS\System32\slbipsch.exe
F:\DOKUME~1\Maeph\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - f:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: (no name) - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VSOCheckTask] "F:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] F:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] F:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] f:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] F:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [brwdiag] F:\WINDOWS\system32\brwconf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] F:\Programme\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - F:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: slbipsch - F:\WINDOWS\system32\slbipsch.dll

O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - f:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - f:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - F:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe



Combofixscan sagt:

Maeph - 06-12-18 17:43:18.60 Service Pack 2
ComboFix 06.11.9 - Running from: "F:\Dokumente und Einstellungen\Maeph\Eigene Dateien"

((((((((((((((((((((((((((((((( Files Created from 2006-10-12 to 2006-11-12 ))))))))))))))))))))))))))))))))))


2006-11-12 22:30 40,960 --a------ F:\WINDOWS\system32\swsc.exe
2006-11-12 22:30 288,417 --a------ F:\WINDOWS\system32\SrchSTS.exe
2006-11-12 22:30 2,692 --a------ F:\WINDOWS\system32\tmp.reg
2006-11-12 22:30 135,168 --a------ F:\WINDOWS\system32\swreg.exe
2006-11-01 16:59 68,888 --a------ F:\WINDOWS\system32\xinput1_3.dll
2006-11-01 16:59 62,744 --a------ F:\WINDOWS\system32\xinput1_2.dll
2006-11-01 16:59 237,848 --a------ F:\WINDOWS\system32\xactengine2_4.dll
2006-11-01 16:59 236,824 --a------ F:\WINDOWS\system32\xactengine2_3.dll
2006-11-01 16:59 2,414,360 --a------ F:\WINDOWS\system32\d3dx9_31.dll
2006-11-01 16:59 2,297,552 --a------ F:\WINDOWS\system32\d3dx9_26.dll
2006-11-01 16:59 15,128 --a------ F:\WINDOWS\system32\x3daudio1_1.dll
2006-10-24 08:41 43,520 --a------ F:\WINDOWS\system32\CmdLineExt03.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-29 14:55 -------- d-------- F:\Programme\SpeedOptimizer
2006-11-29 14:40 -------- d-------- F:\Programme\eMule
2006-11-27 20:41 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\Ventrilo
2006-11-27 20:35 -------- d-------- F:\Programme\Ventrilo
2006-11-27 20:35 -------- d-------- F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-11-27 20:35 -------- d-------- F:\Programme\Gemeinsame Dateien
2006-11-27 19:11 -------- d-------- F:\Programme\Ryzom
2006-11-14 18:24 98304 --a------ F:\WINDOWS\system32\CmdLineExt.dll
2006-11-14 18:17 -------- d--h----- F:\Programme\InstallShield Installation Information
2006-11-14 18:17 -------- d-------- F:\Programme\Sierra
2006-11-14 18:16 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\InstallShield
2006-11-13 00:04 -------- d---s---- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\Microsoft
2006-11-12 23:13 -------- d-------- F:\Programme\Turbine
2006-11-09 20:30 -------- d-------- F:\Programme\StarWarsGalaxies
2006-11-08 06:06 679424 --a------ F:\WINDOWS\system32\inetcomm.dll
2006-11-01 15:16 -------- d-------- F:\Programme\RedBedlam
2006-10-31 22:56 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\SecondLife
2006-10-24 08:41 -------- d-------- F:\Dokumente und Einstellungen\Maeph\Anwendungsdaten\Sierra
2006-10-20 02:38 715776 --a------ F:\WINDOWS\system32\sxs.dll
2006-10-19 20:04 -------- d-------- F:\Programme\Kongsoft
2006-10-13 13:35 146432 --a------ F:\WINDOWS\system32\nwprovau.dll
2006-10-04 18:35 -------- d-------- F:\Programme\City of Heroes
2006-10-04 17:54 -------- d-------- F:\Programme\PokerStars.NET
2006-09-13 06:02 1084416 --a------ F:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ F:\WINDOWS\system32\comctl32.dll
2006-08-24 13:19 246814 --a------ F:\WINDOWS\system32\strmdll.dll
2006-08-24 13:17 500278 --a------ F:\WINDOWS\system32\dxmasf.dll
2006-08-21 13:26 16896 --a------ F:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ F:\WINDOWS\system32\fltmc.exe
2006-08-17 13:28 729600 --a------ F:\WINDOWS\system32\lsasrv.dll
2006-08-17 13:28 132096 --a------ F:\WINDOWS\system32\wkssvc.dll
2006-08-16 12:58 100352 --a------ F:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\system32\\ctfmon.exe"
"AtiTrayTools"="F:\\Programme\\Radeon Omega Drivers\\v2.6.71\\ATI Tray Tools\\atitray.exe"
"MSMSGS"="\"F:\\Programme\\Messenger\\msmsgs.exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"F:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AtiPTA"="atiptaxx.exe"
"SunJavaUpdateSched"="\"F:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"NeroFilterCheck"="F:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"VSOCheckTask"="\"F:\\PROGRA~1\\McAfee.com\\VSO\\mcmnhdlr.exe\" /checktask"
"VirusScan Online"="F:\\Programme\\McAfee.com\\VSO\\mcvsshld.exe"
"OASClnt"="F:\\Programme\\McAfee.com\\VSO\\oasclnt.exe"
"MCAgentExe"="f:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"
"MCUpdateExe"="F:\\PROGRA~1\\mcafee.com\\agent\\McUpdate.exe"
"ICQ Lite"="\"F:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"iTunesHelper"="\"F:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"F:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"F:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"brwdiag"="F:\\WINDOWS\\system32\\brwconf.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-18 17:44:35.89
F:\ComboFix.txt ... 06-12-18 17:44
F:\ComboFix2.txt ... 06-11-12 17:54



Evtl könnt ihr mir ja helfen bei der Sache Danke
Dieser Beitrag wurde am 18.12.2006 um 17:47 Uhr von Muloo editiert.
Seitenanfang Seitenende
19.12.2006, 00:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 11:57
Member

Themenstarter

Beiträge: 34
#3 Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78

Verzeichnis von F:\WINDOWS\system32

19.12.2006 11:52 90'112 slbipsch.exe
19.12.2006 11:45 13'734 wpa.dbl
18.12.2006 16:16 126'976 brwstat.dll
18.12.2006 16:16 49'152 brwprf32.dll
18.12.2006 16:16 53'248 confbrw.dll
18.12.2006 16:16 335'872 brwmgr32.dll
18.12.2006 16:16 40'960 brwperf.exe
17.12.2006 17:53 114'688 slbipsch.dll
17.12.2006 17:53 20'480 e1.dll
17.12.2006 17:53 20'480 rdpwmsjt.exe
17.12.2006 17:53 28'672 vb5dmspo.dll

07.12.2006 18:47 8'891 jupdate-1.5.0_09-b03.log
07.12.2006 15:13 10'716'584 MRT.exe
07.12.2006 06:29 2'374'472 wmvcore.dll
14.11.2006 18:24 98'304 CmdLineExt.dll
13.11.2006 17:27 400'624 perfh009.dat
13.11.2006 17:27 62'286 perfc009.dat



Ich hoff mal du hast das gemeint? ;)
Seitenanfang Seitenende
19.12.2006, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Muloo

es fehlen 5 logs von datfindbat - es sind 6 im ganzen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 12:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 1.Log Verzeichnis von C:\WINDOWS\system32\
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp\
3.Log Verzeichnis von C:\WINDOWS\
4.Log Verzeichnis von C:\WINDOWS\temp\
5.Log Verzeichnis von C:\WINDOWS\Downloaded Program Files
6.Log Verzeichnis von C:\
-------------------------------------------------------------------------

Kurzanleitung datfindbat

1. Doppel-klick DATFINDBAT

2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

3. auf das Command Fenster klicken und beliebige Taste drücken

4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

6. Wiederhole Schritt 3 und speichere als temp.txt

7. Wiederhole Schritt 3 und speichere als down.txt

8. Wiederhole Schritt 3 und speichere als c.txt

9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 12:55
Member

Themenstarter

Beiträge: 34
#6 Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78

Verzeichnis von F:\WINDOWS\system32

19.12.2006 11:52 90'112 slbipsch.exe
19.12.2006 11:45 13'734 wpa.dbl
18.12.2006 16:16 126'976 brwstat.dll
18.12.2006 16:16 49'152 brwprf32.dll
18.12.2006 16:16 53'248 confbrw.dll
18.12.2006 16:16 335'872 brwmgr32.dll
18.12.2006 16:16 40'960 brwperf.exe
17.12.2006 17:53 114'688 slbipsch.dll
17.12.2006 17:53 20'480 e1.dll
17.12.2006 17:53 20'480 rdpwmsjt.exe
17.12.2006 17:53 28'672 vb5dmspo.dll

07.12.2006 18:47 8'891 jupdate-1.5.0_09-b03.log
07.12.2006 15:13 10'716'584 MRT.exe
07.12.2006 06:29 2'374'472 wmvcore.dll
14.11.2006 18:24 98'304 CmdLineExt.dll
13.11.2006 17:27 400'624 perfh009.dat
13.11.2006 17:27 62'286 perfc009.dat
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78

Verzeichnis von F:\DOKUME~1\Maeph\LOKALE~1\Temp

19.12.2006 11:50 346 jusched.log
19.12.2006 11:46 16'384 ~DFC2AD.tmp
19.12.2006 11:46 512 ~DFB6B2.tmp
19.12.2006 11:46 16'384 ~DFB64A.tmp
18.12.2006 21:15 16'384 ~DFBB54.tmp
18.12.2006 21:15 16'384 ~DFD970.tmp
18.12.2006 18:51 16'384 ~DF3F09.tmp
18.12.2006 18:51 16'384 ~DF3407.tmp
18.12.2006 17:13 16'384 ~DF1066.tmp
18.12.2006 17:13 16'384 ~DFB5F9.tmp
10 Datei(en) 131'930 Bytes
0 Verzeichnis(se), 9'755'492'352 Bytes frei

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78

Verzeichnis von F:\WINDOWS

19.12.2006 11:43 0 0.log
19.12.2006 11:42 2'048 bootstat.dat
18.12.2006 21:35 32'618 SchedLgU.Txt
18.12.2006 21:34 1'446'804 WindowsUpdate.log
18.12.2006 16:16 0 egadata.tmp
18.12.2006 16:16 0 concfg.tmp
18.12.2006 16:16 0 attcfg.tmp
18.12.2006 13:30 0 b6iqdkku.scf

15.12.2006 13:59 84'285 iis6.log
15.12.2006 13:59 187'997 comsetup.log
15.12.2006 13:59 112'366 ntdtcsetup.log
15.12.2006 13:59 29'613 ocmsn.log
15.12.2006 13:59 1'393 imsins.log
15.12.2006 13:59 206'482 tsoc.log
15.12.2006 13:59 17'868 KB925454.log
15.12.2006 13:59 259'629 ocgen.log


Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78

Verzeichnis von F:\WINDOWS\Temp

19.12.2006 12:43 255 WGAErrLog.txt
19.12.2006 11:45 409 WGANotify.settings
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 9'755'480'064 Bytes frei

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78

Verzeichnis von F:\WINDOWS\Downloaded Program Files

19.10.2005 19:50 65 desktop.ini
27.08.2005 12:30 5'065 swflash.inf
13.04.2005 12:46 678 mcinsctl.inf
3 Datei(en) 5'808 Bytes
0 Verzeichnis(se), 9'755'480'064 Bytes frei

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 6424-FC78

Verzeichnis von F:\

19.12.2006 12:55 0 sys.txt
19.12.2006 12:54 395 down.txt
19.12.2006 12:54 334 tmp.txt
19.12.2006 12:54 9'656 system.txt
19.12.2006 12:53 733 systemtemp.txt
19.12.2006 12:52 97'893 system32.txt
19.12.2006 11:42 1'610'141'696 hiberfil.sys
19.12.2006 11:42 2'145'386'496 pagefile.sys


So denke das wolltest du^^
Seitenanfang Seitenende
19.12.2006, 13:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch

Files to delete:
F:\WINDOWS\egadata.tmp
F:\WINDOWS\concfg.tmp
F:\WINDOWS\attcfg.tmp
F:\WINDOWS\b6iqdkku.scf
F:\WINDOWS\system32\slbipsch.exe
F:\WINDOWS\system32\brwstat.dll
F:\WINDOWS\system32\brwprf32.dll
F:\WINDOWS\system32\confbrw.dll
F:\WINDOWS\system32\brwmgr32.dll
F:\WINDOWS\system32\brwperf.exe
F:\WINDOWS\system32\slbipsch.dll
F:\WINDOWS\system32\e1.dll
F:\WINDOWS\system32\rdpwmsjt.exe
F:\WINDOWS\system32\vb5dmspo.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das log vom avenger, was nach neustart erscheint

««
loesche das backup vom Avenger unter C:\Avenger\backup.zip

»»
ueberpruefe , ob dein Virenscanner funktioniert + die Windowsupdates
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 13:34
Member

Themenstarter

Beiträge: 34
#8 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tmjfryia

*******************

Script file located at: \??\F:\WINDOWS\ybdeltgg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

File F:\WINDOWS\egadata.tmp deleted successfully.
File F:\WINDOWS\concfg.tmp deleted successfully.
File F:\WINDOWS\attcfg.tmp deleted successfully.
File F:\WINDOWS\b6iqdkku.scf deleted successfully.


File F:\WINDOWS\system32\slbipsch.exe not found!
Deletion of file F:\WINDOWS\system32\slbipsch.exe failed!

Could not process line:
F:\WINDOWS\system32\slbipsch.exe
Status: 0xc0000034

File F:\WINDOWS\system32\brwstat.dll deleted successfully.
File F:\WINDOWS\system32\brwprf32.dll deleted successfully.
File F:\WINDOWS\system32\confbrw.dll deleted successfully.
File F:\WINDOWS\system32\brwmgr32.dll deleted successfully.
File F:\WINDOWS\system32\brwperf.exe deleted successfully.
File F:\WINDOWS\system32\slbipsch.dll deleted successfully.
File F:\WINDOWS\system32\e1.dll deleted successfully.
File F:\WINDOWS\system32\rdpwmsjt.exe deleted successfully.
File F:\WINDOWS\system32\vb5dmspo.dll deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

So Danke dir Sabina dann schau ich mal was mit meinem Virenscanner los ist.
Seitenanfang Seitenende
19.12.2006, 14:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 »»
ueberpruefe , ob dein Virenscanner funktioniert + die Windowsupdates
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 14:39
Member

Themenstarter

Beiträge: 34
#10 Virenscanner funktioniert aber automatisches Windowsupdate nicht und auch wenn ich manuell will hab ich ein verbindungsproblem.
Seitenanfang Seitenende
19.12.2006, 16:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 arbeite das ab - genau, wie es beschrieben ist, wenn es probleme geben sollte - melde dich
http://virus-protect.org/artikel/spyware/warezov_1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 19:54
Member

Themenstarter

Beiträge: 34
#12 Also habs genau so gemacht wie es beschrieben war aber genüzt hats irgendwie nix ich poste dir mal follgendes falls dir das was bringt:

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 19.12.2006 - 19:47
Wert 0
Name: NoAutoUpdate
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: AUOptions
Typ: REG_DWORD
Daten: 0x3

Wert 2
Name: ScheduledInstallDay
Typ: REG_DWORD
Daten: 0x0

Wert 3
Name: ScheduledInstallTime
Typ: REG_DWORD
Daten: 0x11

Wert 4
Name: RescheduleWaitTime
Typ: REG_DWORD
Daten: 0x3

Wert 5
Name: NoAutoRebootWithLoggedOnUsers
Typ: REG_DWORD
Daten: 0x1

Wert 6
Name: UseWUServer
Typ: REG_DWORD
Daten: 0x1

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 19.12.2006 - 19:38
Wert 0
Name: AUOptions
Typ: REG_DWORD
Daten: 0x2

Wert 1
Name: ScheduledInstallDay
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: ScheduledInstallTime
Typ: REG_DWORD
Daten: 0x3

Wert 3
Name: NextDetectionTime
Typ: REG_SZ
Daten: 2006-12-18 08:05:26

Wert 4
Name: ScheduledInstallDate
Typ: REG_SZ
Daten: 2006-12-18 02:00:00

Wert 5
Name: BalloonTime
Typ: REG_SZ
Daten: 2006-12-17 12:09:32

Wert 6
Name: BalloonType
Typ: REG_DWORD
Daten: 0x5

Wert 7
Name: OfflineDetectionPending
Typ: REG_DWORD
Daten: 0x1

Wert 8
Name: AUState
Typ: REG_DWORD
Daten: 0x2

Wert 9
Name: ConfigVer
Typ: REG_DWORD
Daten: 0x1
Seitenanfang Seitenende
20.12.2006, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 diese reg musst du importieren in AU
http://virus-protect.org/artikel/spyware/warezov_1.html

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000005
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001
dann schau dir auch alle anderen Schluessel an, die mit den Windowsupdates in Verbindung stehen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.12.2006, 11:02
Member

Themenstarter

Beiträge: 34
#14 Ok hab genau das gemacht nur das autoupdate funktioniert immer noch nicht ich kann zwar manuell umstellen aber die fehlermeldung vom Windows-Sicherheitszentrum kommt nach wie vor und der PC macht auch keine anstalten nach einem Update zu suchen.
Seitenanfang Seitenende
20.12.2006, 12:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 die reg hast du auf keinen Fall korrekt importiert, denn in meinem Script steht:

"AUOptions"=dword:00000005
und bei dir ist es eine 3 ;)


da ich nicht vor deinem Rechner sitze, bin ich darauf angewiesen, dass du mir von allen Schritten berichtest, die du durchfuehrst und am besten auch immer die logs dazu postest.
also : erstelle mal einen bericht, so:
http://virus-protect.org/artikel/spyware/warezov_1.html

1.
ich habe das und das gemacht ...dieser Schluessel so und so steht auf ...
2.
dann war ich dort ...usw. usw.

damit ich alles nachvollziehen kann - und wir den Fehler finden ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: