"Critical System Error - VirusRescue - AntiVermins

#0
24.12.2006, 12:11
...neu hier

Beiträge: 5
#1 Logfile of HijackThis v1.99.1
Scan saved at 11:40:03, on 24.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\WINDOWS\system32\IDispChg.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VirusRescue\vrsvc.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\VirusRescue\VirusRescue.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\VirusRescue\VirusRescue.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Dokumente und Einstellungen\David\Desktop\Pet Guardian v1.4\Pet Guardian.exe
C:\WINDOWS\DitExp.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsavgui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\David\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VirusRescue] C:\Programme\VirusRescue\VirusRescue.exe /s
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Pet Guardian.lnk = C:\Dokumente und Einstellungen\David\Desktop\Pet Guardian v1.4\Pet Guardian.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {8D4C647D-9244-48D8-B135-906354B64B61} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4193816F-EC8F-46A8-97C7-72B93C4A2E20}: NameServer = 195.186.1.107 195.186.4.107
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: IDispChg Service (IDispChgService) - Unknown owner - C:\WINDOWS\system32\IDispChg.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: vrsvc - Unknown owner - C:\Programme\VirusRescue\vrsvc.exe

2. cleanup wie angegeben durchgefuehrt.

David - 06-12-24 11:58:46.30 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\David"

((((((((((((((((((((((((((((((( Files Created from 2006-11-24 to 2006-12-24 ))))))))))))))))))))))))))))))))))


2006-12-24 11:48 <DIR> d-------- C:\Programme\CleanUp!
2006-12-23 20:52 <DIR> d-------- C:\WINDOWS\network diagnostic
2006-12-23 20:28 <DIR> d-------- C:\Programme\VirusRescue
2006-12-23 20:20 <DIR> d-------- C:\Programme\AntiVermins
2006-12-23 20:19 20,992 --a------ C:\WINDOWS\system32\cthkpcv.dll
2006-12-23 20:19 <DIR> d-------- C:\Programme\Video ActiveX Object

2006-12-19 16:39 <DIR> d-------- C:\Programme\Dofus
2006-12-17 13:09 <DIR> d---s---- C:\Dokumente und Einstellungen\David\UserData
2006-12-14 21:36 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\InterVideo
2006-12-09 21:16 36,734 --a------ C:\WINDOWS\system32\OggDSuninst.exe
2006-12-09 21:12 <DIR> d-------- C:\Programme\illiminable
2006-11-28 20:30 129,784 --------- C:\WINDOWS\system32\pxafs.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-24 11:51 -------- d-------- C:\Programme\Opera
2006-12-23 20:53 -------- d-------- C:\Programme\Internet Explorer
2006-12-21 19:41 -------- d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\ChessBase
2006-12-15 03:13 -------- d-------- C:\Programme\Outlook Express
2006-12-11 07:32 -------- d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\Azureus
2006-12-08 23:25 -------- d-------- C:\Programme\Zoom Player
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-02 11:13 -------- d-------- C:\Programme\Windows Media Player
2006-11-29 23:22 -------- d-------- C:\Programme\Wecker6
2006-11-28 20:30 -------- d-------- C:\Programme\Winamp
2006-11-12 02:12 -------- d-------- C:\Programme\Spybot - Search & Destroy
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"00THotkey"="C:\\WINDOWS\\system32\\00THotkey.exe"
"000StTHK"="000StTHK.exe"
"TFNF5"="TFNF5.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"SigmaTel StacMon"="C:\\Programme\\SigmaTel\\SigmaTel AC97 Audio-Treiber\\stacmon.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"TouchED"="C:\\Programme\\TOSHIBA\\TouchED\\TouchED.Exe"
"PadTouch"="\"C:\\Programme\\TOSHIBA\\PadTouch\\PadExe.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"TPSMain"="TPSMain.exe"
"TFncKy"="TFncKy.exe"
"NDSTray.exe"="NDSTray.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"VirtualCloneDrive"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"iTunesHelper"="C:\\Programme\\iTunes\\iTunesHelper.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Dit"="Dit.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"F-Secure Manager"="\"C:\\Programme\\F-Secure Anti-Virus\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\Programme\\F-Secure Anti-Virus\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"F-Secure Startup Wizard"="\"C:\\Programme\\F-Secure Anti-Virus\\FSGUI\\FSSW.EXE\" /reboot"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"VirusRescue"="C:\\Programme\\VirusRescue\\VirusRescue.exe /s"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,c0
"OriginalStateInfo"=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
00,00,04,00,00,c0
"RestoredStateInfo"=hex:18,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}"="buprestidae"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Scheduled scanning task.job
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\WebReg 20050802232452.job

Completion time: 06-12-24 11:59:45.68
C:\ComboFix.txt ... 06-12-24 11:59



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-8FD3

Verzeichnis von C:\WINDOWS\system32

24.12.2006 11:54 1'158 wpa.dbl
23.12.2006 20:19 20'992 cthkpcv.dll
09.12.2006 21:16 36'734 OggDSuninst.exe
08.12.2006 00:13 10'716'584 MRT.exe
07.12.2006 06:29 2'374'472 wmvcore.dll



6. Probleme
Nach der Meldung habe ich Spybot Search & Destroy laufen lassen, was jedesmal zu einem automatischen Abschalten des Laptops gefuehrt hat. F-Secure findet zwar "Trojan.win32.agent.rx" aber er kann sie nur umbennen und nicht entfernen.
Seitenanfang Seitenende
25.12.2006, 15:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 hidden

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

VirusRescue

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn

in: "Enter search strings" (reinschreiben oder reinkopieren)

AntiVermins

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn

in: "Enter search strings" (reinschreiben oder reinkopieren)

Video ActiveX Object

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn

_______________________________________________________


http://virus-protect.org/artikel/tools/agentransack.html
kopiere in Suche: VirusRescue

und poste hier , was erscheint !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.12.2006, 05:27
...neu hier

Themenstarter

Beiträge: 5
#3 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.12.2006 05:16:55 for strings:
; 'virusrescue'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CF79DAB6-0AFE-4678-856D-44574D91915C}]
@="VirusRescue.VRShellExt"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CF79DAB6-0AFE-4678-856D-44574D91915C}\AppID]
@="VirusRescue.VRShellExt"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{598CA4D5-6870-47F0-B513-E3EFBA809B22}\InProcServer32]
@="C:\\Programme\\VirusRescue\\vrext.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{753D7DED-2454-44A3-959D-DC3700FC6B6E}\InprocServer32]
@="C:\\Programme\\VirusRescue\\vrext.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF79DAB6-0AFE-4678-856D-44574D91915C}]
@="VirusRescue.VRShellExt"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF79DAB6-0AFE-4678-856D-44574D91915C}\LocalServer32]
@="C:\\Programme\\VirusRescue\\VirusRescue.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2E88F662-2027-421D-9874-F3DBC2207BAB}\1.0\0\win32]
@="C:\\Programme\\VirusRescue\\vrext.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2E88F662-2027-421D-9874-F3DBC2207BAB}\1.0\HELPDIR]
@="C:\\Programme\\VirusRescue\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7DF0578-D732-4BFB-A65B-89C1CCEA01CC}\1.0]
@="The VirusRescue Shell Extensions library"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7DF0578-D732-4BFB-A65B-89C1CCEA01CC}\1.0\0\win32]
@="C:\\Programme\\VirusRescue\\VirusRescue.tlb"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7DF0578-D732-4BFB-A65B-89C1CCEA01CC}\1.0\HELPDIR]
@="C:\\Programme\\VirusRescue"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusRescue]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusrescue.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusrescue.exe]
@="C:\\Programme\\VirusRescue\\VirusRescue.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusRescue"="C:\\Programme\\VirusRescue\\VirusRescue.exe /s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusRescue]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusRescue]
"DisplayName"="VirusRescue v3.0.2"
"UninstallString"="C:\\Programme\\VirusRescue\\uninst.exe"
"DisplayIcon"="C:\\Programme\\VirusRescue\\VirusRescue.exe"
"NSIS:StartMenuDir"="VirusRescue"
"URLInfoAbout"="http://www.VirusRescue.com"
"Publisher"="VirusRescue.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\VirusRescue]

[HKEY_LOCAL_MACHINE\SOFTWARE\VirusRescue]
"Path"="C:\\Programme\\VirusRescue\\stop.set"
"dir"="C:\\Programme\\VirusRescue"

[HKEY_LOCAL_MACHINE\SOFTWARE\VirusRescue\OnAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vrsvc]
; Contents of value:
; c:\programme\virusrescue\vrsvc.exe
"ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,56,69,72,75,73,52,65,\
73,63,75,65,5c,76,72,73,76,63,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vrsvc]
; Contents of value:
; c:\programme\virusrescue\vrsvc.exe
"ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,56,69,72,75,73,52,65,\
73,63,75,65,5c,76,72,73,76,63,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vrsvc]
; Contents of value:
; c:\programme\virusrescue\vrsvc.exe
"ImagePath"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,6d,65,5c,56,69,72,75,73,52,65,\
73,63,75,65,5c,76,72,73,76,63,2e,65,78,65,00

[HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\VirusRescue]

[HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\VirusRescue\\VirusRescue.exe"="VirusRescue"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.12.2006 05:18:31 for strings:
; 'antivermins'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\AntiVermins]

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.12.2006 05:20:01 for strings:
; 'video activex object'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}\InprocServer32]
@="C:\\Programme\\Video ActiveX Object\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a1ddc19-5893-43ab-a73f-f41a0f34d115}\InprocServer32]
@="C:\\Programme\\Video ActiveX Object\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006]
"UninstallString"="\"C:\\Programme\\Video ActiveX Object\\iesuninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On]
"UninstallString"="\"C:\\Programme\\Video ActiveX Object\\isauninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03]
"UninstallString"="\"C:\\Programme\\Video ActiveX Object\\pmuninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object]
"DisplayName"="Video ActiveX Object 2.07"
"UninstallString"="C:\\Programme\\Video ActiveX Object\\uninst.exe"
"DisplayIcon"="C:\\Programme\\Video ActiveX Object\\uninst.exe"
"Publisher"="Video ActiveX Object Software"

[HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Internet Security]
"Path"="C:\\Programme\\Video ActiveX Object"

[HKEY_USERS\S-1-5-21-13793962-2476620414-1422155055-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Video ActiveX Object\\pmsngr.exe"="pmsngr"

; End Of The Log...

________________________

C:\Programme\Video ActiveX Object (23.12.2006 20:19:57)
Seitenanfang Seitenende
26.12.2006, 13:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 hidden

««
http://virus-protect.org/artikel/tools/agentransack.html
kopiere in Suche: VirusRescue

und poste hier , was erscheint !

-------------------------------------------------------------------
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusRescue
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|buprestidae
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CF79DAB6-0AFE-4678-856D-44574D91915C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{598CA4D5-6870-47F0-B513-E3EFBA809B22}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{753D7DED-2454-44A3-959D-DC3700FC6B6E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF79DAB6-0AFE-4678-856D-44574D91915C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2E88F662-2027-421D-9874-F3DBC2207BAB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7DF0578-D732-4BFB-A65B-89C1CCEA01CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusRescue
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusrescue.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusRescue
HKEY_LOCAL_MACHINE\SOFTWARE\VirusRescue
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vrsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vrsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vrsvc
HKLM\SOFTWARE\Classes\CLSID\{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKLM\SOFTWARE\AntiVermins
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6B112EBD-0C90-4AC4-A969-F36797F00006}

Files to delete:
C:\WINDOWS\Prefetch\VIRUSRESCUE.EXE-1EA96EB1.pf
C:\WINDOWS\system32\cthkpcv.dll
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\VirusRescue v3.0.2.lnk
C:\Dokumente und Einstellungen\%UserName%\Startmenü\VirusRescue v3.0.2.lnk
C:\Dokumente und Einstellungen\%Username%\Startmenü\AntiVermins 2.1.lnk
C:\Dokumente und Einstellungen\%UserName%\Desktop\AntiVermins.lnk
C:\Dokumente und Einstellungen\%UserName%\Desktop\VirusRescue v3.0.2.lnk

Folders to delete:
C:\Programme\VirusRescue
C:\Programme\AntiVermins
C:\Programme\Video ActiveX Object
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\AntiVermins
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\VirusRescue
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
poste hier das log vom avenger, was nach neustart erscheinen wird

««
scanne mit smitfraud.fix - Option 1 und 2 - lasse auch die Registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html

_________

Information: virusrescue
http://virus-protect.org/artikel/spyware/virusrescue_remove.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.12.2006, 02:02
...neu hier

Themenstarter

Beiträge: 5
#5 C:\Dokumente und Einstellungen\David\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24)
C:\Dokumente und Einstellungen\David\Desktop\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24)
C:\Dokumente und Einstellungen\David\Startmenü\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24)
C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue (23.12.2006 20:28:25)
C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue\VirusRescue v3.0.2 Un-Installer.lnk (1 KB, 23.12.2006 20:28:25)
C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue\VirusRescue v3.0.2 Website.lnk (1 KB, 23.12.2006 20:28:25)
C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRescue\VirusRescue v3.0.2.lnk (1 KB, 23.12.2006 20:28:24)
C:\Programme\VirusRescue (24.12.2006 20:01:13)
C:\Programme\VirusRescue\VirusRescue.exe (2008 KB, 09.11.2006 15:10:08)
C:\Programme\VirusRescue\VirusRescue.tlb (2 KB, 08.08.2006 12:16:26)
C:\Programme\VirusRescue\VirusRescue.url (1 KB, 23.12.2006 20:28:25)
C:\WINDOWS\Prefetch\VIRUSRESCUE.EXE-1EA96EB1.pf (21 KB, 24.12.2006 16:57:30)

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0

Ich habe es einmal durchlaufen lassen, da kam zwischendurch eine Fehlermeldung "Aenderung verweigert", aber ich kann nicht mehr sagen von was ;) Das logfile wurde nach dem Neustart auch nicht angezeigt und bei jedem neuen Versuch erscheint die Fehlermeldung das kein file erstellt werden kann.
Seitenanfang Seitenende
27.12.2006, 12:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 hidden

noch mal (ich habe editiert)

««
Input script manually (anhaken)

««
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

»»
oberes avengerscript reinkopieren - ohne "Zitat" !!!!

««
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

»»
poste das log, was erscheint

»»
scanne mit smitfraudfix
________________

dann kopiere noch mal die drei Begriffe (siehe oben) ein in Registry Search, um zu sehen, was geloescht wurde und was nicht
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende