Auch System Alert - VirusRescue - AntiVermins

#0
05.01.2007, 14:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31

Zitat

"copy.exe" virus wieder wegkriegt?
was meinst du mit Virus ? zeigt dein Antivirusprogramm sowas an ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.01.2007, 16:15
Member

Beiträge: 17
#32 hmm naja ich kann net hunderprozentig sagen das es einer is aber mein antivirus-programmm zeigt nix an aber es is ein schulvirus von meiner schule weil es kann ja net sein das es fast alle pc in der schule haben sowie fast alle meine klassenkameraden...so einen zufall gibt es nicht...
und was soll cih jez denn eigetnlcih mit den logs die ich gepostet hab machen
__________
mfg thomas
Seitenanfang Seitenende
06.01.2007, 00:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.01.2007, 17:59
Member

Beiträge: 17
#34 hmm ich hab ihn gestartet und er hat schon automatisch angefangen zu scannen und er hat kene viren gefunden..
naja mein bitdefender findet zwar 2 viren aber er kann sie selbst nicht löschen..
was soll cih jez machen?
__________
mfg thomas
Seitenanfang Seitenende
06.01.2007, 21:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 hast du einen report vom scan (bitdefender)
wenn ich den pfad kenne - kann ich ein avengerscript erstellen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.02.2007, 06:14
...neu hier

Beiträge: 2
#36 Hi!
Ich habe wie viele andere das Problem mit dem merkwürdigen Symbol auf der taskleiste(Sytem Alert!).

Ich habe es geschafft mit Spy Bot S&D, die Popupfenster zu blockieren. Aber Auf der Taskleiste ist immer noch das ,,Blaue Fragezeichen´´ Symbol...

Ich hab das Forum ein wenig durch stöbert und wie so mit bekommen habe, kann man mir mit dem Hijackthis.log helfen

Hier ist meine Hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 05:42:24, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
L:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
L:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
L:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
L:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
L:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Ousama\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Video ActiveX Object\isadd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Programme\Video ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kis] "L:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [RAM Idle Professional] L:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "L:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: PowerReg Scheduler V3.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - L:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - L:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D965A634-07CF-4A0C-B71F-70AA7330DE42}: NameServer = 62.220.18.8 62.72.64.241
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: L:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: exemplars - {2acf3add-34a1-4f2f-99cf-cc69785d1e90} - C:\WINDOWS\system32\cwgppb.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - L:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - L:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

----ENDe----

Schon mal Danke für jede kleine Behilfligkeit...
Und danach gibts dann das richitg FETTE DANKE SCHÖN;)
Seitenanfang Seitenende
04.02.2007, 12:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 Terriyano

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{84938242-5C5B-4A55-B6B9-A1507543B418}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|exemplars
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler|{2acf3add-34a1-4f2f-99cf-cc69785d1e90}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|none

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84938242-5C5B-4A55-B6B9-A1507543B418}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2acf3add-34a1-4f2f-99cf-cc69785d1e90}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03

Files to delete:
C:\WINDOWS\system32\cwgppb.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\%Username%\Favoriten\Online Security Test.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\Programme\AntiVermeans
C:\Dokumente und Einstellungen\Ousama\Anwendungsdaten\sopcast
C:\Programme\Video ActiveX Object
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.02.2007, 20:04
...neu hier

Beiträge: 2
#38 Hier Combofix.txt:

"Ousama" - 07-02-04 20:00:41 Service Pack 2
ComboFix 07.02.04 - Running from: "C:\Dokumente und Einstellungen\Ousama\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2007-01-04 to 2007-02-04 ))))))))))))))))))))))))))))))))))


2007-02-04 02:39 <DIR> d-------- C:\Programme\AntiVermeans
2007-02-04 02:38 20,992 --a------ C:\WINDOWS\system32\cwgppb.dll
2007-01-27 01:19 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2007-01-27 01:19 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2007-01-27 01:19 <DIR> d-------- C:\Programme\QuickTime
2007-01-27 01:18 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\QuickTime
2007-01-22 23:27 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-01-22 23:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2007-01-22 23:25 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2007-01-22 23:25 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2007-01-22 23:25 221,184 --a------ C:\WINDOWS\system32\mgxoschk.dll
2007-01-22 23:25 1,089,536 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2007-01-19 18:11 <DIR> d-------- C:\Programme\Messenger Plus! Live
2007-01-19 16:18 <DIR> d-------- C:\DOKUME~1\Safaa\Anwendungsdaten\Teleca
2007-01-06 20:02 <DIR> d-------- C:\DOKUME~1\Maroua\Anwendungsdaten\Nokia Multimedia Player
2007-01-06 19:59 <DIR> d-------- C:\DOKUME~1\Maroua\Anwendungsdaten\Teleca
2007-01-06 19:58 <DIR> dr-h----- C:\DOKUME~1\Maroua\Anwendungsdaten
2007-01-06 19:58 <DIR> dr------- C:\DOKUME~1\Maroua\Startmen
2007-01-06 19:58 <DIR> dr------- C:\DOKUME~1\Maroua\Favoriten
2007-01-06 19:58 <DIR> dr------- C:\DOKUME~1\Maroua\Eigene Dateien
2007-01-06 19:58 <DIR> d--h----- C:\DOKUME~1\Maroua\Vorlagen
2007-01-06 19:58 <DIR> d--h----- C:\DOKUME~1\Maroua\Netzwerkumgebung
2007-01-06 19:58 <DIR> d--h----- C:\DOKUME~1\Maroua\Lokale Einstellungen
2007-01-06 19:58 <DIR> d--h----- C:\DOKUME~1\Maroua\Druckumgebung
2007-01-06 19:58 <DIR> d-------- C:\DOKUME~1\Maroua\Anwendungsdaten\PC Suite
2007-01-06 19:13 <DIR> d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\Nokia Multimedia Player
2007-01-06 18:59 <DIR> d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\Teleca
2007-01-06 18:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Documents
2007-01-06 18:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-01-06 18:57 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Teleca
2007-01-06 18:57 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Sony Ericsson


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-04 19:49 -------- d-------- C:\Programme\mozilla firefox
2007-02-04 03:03 -------- d-------- C:\Programme\windows media connect 2
2007-01-29 01:44 -------- d--h----- C:\Programme\installshield installation information
2007-01-27 00:14 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\utorrent
2007-01-19 18:11 -------- d-------- C:\Programme\msn messenger
2007-01-06 19:07 -------- d---s---- C:\DOKUME~1\Ousama\Anwendungsdaten\microsoft
2007-01-02 16:17 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\leadertech
2007-01-02 16:17 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\adobe
2007-01-01 05:13 -------- d-------- C:\Programme\atuner
2006-12-30 21:53 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2006-12-24 19:28 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\ashampoo
2006-12-24 19:27 -------- d-------- C:\Programme\ashampoo
2006-12-24 19:19 -------- d-------- C:\Programme\Gemeinsame Dateien\ahead
2006-12-23 00:40 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\teamspeak2
2006-12-20 21:56 -------- d-------- C:\Programme\java
2006-12-20 21:55 -------- d-------- C:\Programme\Gemeinsame Dateien\java
2006-12-20 00:36 359808 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2006-12-16 03:59 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\datalayer
2006-12-11 03:15 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\ahead
2006-12-11 00:59 639224 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-12-09 20:32 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\pc suite
2006-12-09 14:20 -------- d-------- C:\Programme\nokia
2006-12-09 14:20 -------- d-------- C:\Programme\Gemeinsame Dateien\pcsuite
2006-12-09 14:20 -------- d-------- C:\Programme\Gemeinsame Dateien\nokia
2006-12-09 14:20 -------- d-------- C:\Programme\difx
2006-12-07 21:12 737280 --a------ C:\WINDOWS\iun6002.exe
2006-12-05 21:14 -------- d-------- C:\DOKUME~1\Ousama\Anwendungsdaten\sopcast
2006-11-26 23:04 0 -rahs---- C:\MSDOS.SYS
2006-11-26 23:04 0 -rahs---- C:\IO.SYS
2006-11-26 23:04 0 --a------ C:\CONFIG.SYS
2006-11-26 23:04 0 --a------ C:\AUTOEXEC.BAT
2006-11-26 22:54 62 --ahs---- C:\DOKUME~1\Ousama\Anwendungsdaten\desktop.ini
2006-11-15 11:21 24072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-11-15 09:17 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-11-14 21:56 734208 --a------ C:\WINDOWS\system32\lsasrv.dll
2006-11-14 21:56 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-11-14 21:56 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-11-14 21:56 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-11-14 21:56 132096 --a------ C:\WINDOWS\system32\wkssvc.dll
2006-11-13 20:09 52736 --a------ C:\WINDOWS\system32\wzcsapi.dll
2006-11-13 20:09 476160 --a------ C:\WINDOWS\system32\wzcsvc.dll
2006-11-13 20:09 384512 --a------ C:\WINDOWS\system32\wzcdlg.dll
2006-11-13 20:09 1724416 --a------ C:\WINDOWS\system32\netshell.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"kis"="\"L:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""
"RAM Idle Professional"="L:\\Programme\\RAM Idle LE\\RAM_XP.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
@=""
"Sony Ericsson PC Suite"="\"L:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="L:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"D:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"d:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"D:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LAUNCH~1"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="L:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=dword:00000002
"NBService"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="L:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{2acf3add-34a1-4f2f-99cf-cc69785d1e90}"="exemplars"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
"exemplars"="{2acf3add-34a1-4f2f-99cf-cc69785d1e90}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"user32.dll"="C:\\Programme\\Video ActiveX Object\\isamntr.exe"
"rare"="C:\\Programme\\Video ActiveX Object\\pmsnrr.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-04 20:03:31

*****************NOCH WAS********************

Der AVenger konnte einige Dateien nicht löschen...

Im Anhang ist die Logfile vom Avenger...

Anhang: avenger.txt
Dieser Beitrag wurde am 04.02.2007 um 20:18 Uhr von Terriyano editiert.
Seitenanfang Seitenende
04.02.2007, 22:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\policies\explorer\run|user32.dll
HKLM\software\microsoft\windows\currentversion\policies\explorer\run|rare
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{2acf3add-34a1-4f2f-99cf-cc69785d1e90}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|exemplars

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{2acf3add-34a1-4f2f-99cf-cc69785d1e90}

Files to delete:
C:\WINDOWS\system32\cwgppb.dll

Folders to delete:
C:\Programme\AntiVermeans
C:\Dokumente und Einstellungen\Ousama\Anwendungsdaten\sopcast
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende