Problem ähnl. W32.Blaster

#0
30.12.2006, 17:51
...neu hier

Beiträge: 2
#1 Hallo an alle!

Ich habe seit einigen Wochen einen Wurm (?) auf dem PC, den ich einfach nicht wegbekomme.
Habe auch schon hier im Forum gesucht, jedoch ist es schwierig nach einem Problem zu suchen, den man nicht benennen kann.

Und zwar äußerst sich das folgendermaßen:
Sobald ich ungeschützt ins Internet gehe (benutze normalerweise die ZoneAlarm Firewall), was einige Anwendungen erfordern, dauert es noch etwa 30 Minuten, bis sich ein Fenster öffnet, welches mir sagt der PC werde heruntergefahren auf Grund eines Fehlers. Nebendran ein Countdown von 1 Minute.
Der Befehl lässt sich zwar mit 'shutdown -a' unterbinden, jedoch ist das System danach mehr als instabil.
Die Charakteristik hat mich sofort an den W32.Blaster denken lassen, als ich jedoch ein Progtamm durchlaufen ließ ('Fixblast'), um den Wurm zu lokalisieren und vernichten, fand dieses nichts.
Auch mein normaler Virenscanner (Kaspersky Antivirus) zeigt nichts an.

Nun meine Frage an euch, habt ihr von sowas schonmal gehört/gibt es patente Lösungen, um diesen Fehler zu beheben?


Ich danke schon im Voraus ganz herzlich,

Gruß Hourglass
Seitenanfang Seitenende
30.12.2006, 20:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2006, 21:50
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo, danke für die prompte Antwort.

Anbei also die Logfiles:


Logfile of HijackThis v1.97.7
Scan saved at 21:25:37, on 30.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michi\Desktop\Verschiedenes\Zeuch\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Web-Anti-Virus (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0F37A64-34EE-4B69-979E-C55A0DD8F397}: NameServer = 195.50.140.252 195.50.140.114






Michi - 06-12-30 21:30:33,79 Service Pack 1
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Michi\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-11-30 to 2006-12-30 ))))))))))))))))))))))))))))))))))


2006-12-30 17:20 <DIR> d-a--c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2006-12-28 12:40 0 --ahs---- C:\WINDOWS\system32\.exe
2006-12-12 18:16 61,584 --a------ C:\WINDOWS\system32\drivers\klick.sys
2006-12-12 18:16 59,536 --a------ C:\WINDOWS\system32\drivers\klin.sys
2006-12-12 18:15 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-12-12 18:15 <DIR> d-------- C:\Programme\Kaspersky Lab
2006-12-12 18:14 <DIR> d----c--- C:\avenger
2006-12-12 17:42 <DIR> d----c--- C:\KAV
2006-12-10 11:12 11,648 --a------ C:\WINDOWS\system32\drivers\pxscrmbl.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-30 21:26 -------- d-------- C:\Programme\CleanUp!
2006-12-30 19:27 -------- d-------- C:\Programme\Trillian
2006-12-29 15:55 -------- d-------- C:\Programme\Warcraft III
2006-12-28 12:40 0 --ahs---- C:\WINDOWS\system32\.exe
2006-12-28 10:24 -------- d-------- C:\Programme\Demos
2006-12-23 14:18 -------- d-a------ C:\Programme\Gemeinsame Dateien
2006-12-23 14:16 -------- d-------- C:\Programme\You Don't Know Jack 4
2006-12-23 14:12 -------- d-------- C:\Programme\EA GAMES
2006-12-23 14:09 -------- d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\InstallShield Installation Information
2006-12-23 14:03 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-14 11:19 -------- d-------- C:\Programme\Winamp
2006-12-14 11:18 -------- d-------- C:\Programme\NetMeeting
2006-12-14 11:17 -------- d-------- C:\Programme\Java Web Start
2006-12-03 15:15 -------- d-------- C:\Programme\ElsterFormular2005
2006-11-28 20:47 -------- d-------- C:\Programme\Ahead
2006-11-15 15:44 18273 --a------ C:\WINDOWS\system32\drivers\klop.sys
2006-11-11 11:46 -------- d-------- C:\Programme\FlashGet
2006-11-11 11:25 -------- d---s---- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Microsoft
2006-11-01 17:42 94314 --a------ C:\WINDOWS\system32\klogon.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2004\\MemOptimizer.exe\" autostart"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"Logitech Utility"="Logi_MwX.Exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLowDiskSpaceChecks"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=dword:00000001
"LinkResolveIgnoreLinkInfo"=dword:00000000
"NoResolveSearch"=dword:00000001
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"nwiz"="nwiz.exe /install"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe "
"item"="Adobe Reader Speed Launch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk.disabled]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk.disabled"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnk.disabledCommon Startup"
"location"="Common Startup"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk.disabled"
"item"="Adobe Reader Speed Launch.lnk"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BTTray.lnk"
"backup"="C:\\WINDOWS\\pss\\BTTray.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Widcomm\\BLUETO~1\\BTTray.exe "
"item"="BTTray"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CONNECTAUTrayApp.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\CONNECTAUTrayApp.lnk"
"backup"="C:\\WINDOWS\\pss\\CONNECTAUTrayApp.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Sony\\CONNECTAutoUpdate\\CONNECTAUTrayApp.exe "
"item"="CONNECTAUTrayApp"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe "
"item"="hpoddt01.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PC-Bibliothek-Direktsuche.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PC-Bibliothek-Direktsuche.lnk"
"backup"="C:\\WINDOWS\\pss\\PC-Bibliothek-Direktsuche.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Lexikon\\PCLib.exe "
"item"="PC-Bibliothek-Direktsuche"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_SUED_FotoSuite_Download]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FotoSuite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ALDI Sued Foto Service\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Arcor Online]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CONNECTScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CONNECTScheduler"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Sony\\CONNECTAutoUpdate\\CONNECTScheduler.exe\" /RUN_SCHEDULER"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DSLAGENTEXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dslagent"
"hkey"="HKLM"
"command"="dslagent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DSLSTATEXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dslstat"
"hkey"="HKLM"
"command"="C:\\Program Files\\GlobespanVirata\\Adsl\\dslstat.exe icon"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DXDllRegExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dxdllreg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\dxdllreg.exe "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gzsh]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="gzsh"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\gzsh.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCAgentExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mcagent"
"hkey"="HKLM"
"command"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McRegWiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="McRegWiz"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\McAfee.com\\Agent\\McRegWiz.exe /autorun"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCUpdateExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mcupdate"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msbb"
"hkey"="HKLM"
"command"="c:\\dokume~1\\besitzer\\lokale~1\\temp\\msbb.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrbitUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="update"
"hkey"="HKLM"
"command"="C:\\Programme\\Orbit\\update.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrbitView]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="view"
"hkey"="HKLM"
"command"="C:\\Programme\\Orbit\\view.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PSDrvCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\PSDrvCheck.exe -CheckReg"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power Scan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="powerscan"
"hkey"="HKLM"
"command"="C:\\Programme\\Power Scan\\powerscan.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
"key"="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
"item"="wmplayer"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\services\\wmplayer.exe"
"inimapping"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sais]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sais"
"hkey"="HKLM"
"command"="c:\\programme\\180solutions\\sais.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SsAAD"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Valve\\Half Life 2\\Steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xpsystem]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wmplayer"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\services\\wmplayer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\_AntiSpyware]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MssCli"
"hkey"="HKLM"
"command"="C:\\Programme\\McAfee\\McAfee AntiSpyware\\MssCli.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Messenger"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-12-30 21:34:26.04
C:\ComboFix.txt ... 06-12-30 21:34
C:\ComboFix2.txt ... 06-11-29 21:23







Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: A829-E733

Verzeichnis von C:\WINDOWS\system32

30.12.2006 21:21 892 vsconfig.xml
30.12.2006 21:19 22.070 nvapps.xml
30.12.2006 19:27 21.481 ikhcore.log
28.12.2006 12:40 0 .exe
27.12.2006 10:29 1.374 wpa.dbl
11.12.2006 19:36 22.918 seite19.html
11.12.2006 19:36 18.607 seite18.html
11.12.2006 19:36 19.452 seite17.html
11.12.2006 19:36 18.436 seite16.html
11.12.2006 19:36 18.492 seite15.html
11.12.2006 19:36 21.438 seite14.html
11.12.2006 19:36 18.868 seite13.html
11.12.2006 19:36 19.148 seite12.html
11.12.2006 19:36 22.212 seite11.html
11.12.2006 19:36 20.780 seite10.html
11.12.2006 19:36 20.116 seite09.html
11.12.2006 19:36 20.604 seite08.html
11.12.2006 19:36 20.964 seite07.html
11.12.2006 19:36 20.260 seite06.html
11.12.2006 19:36 20.460 seite05.html
11.12.2006 19:36 19.892 seite04.html
11.12.2006 19:36 18.206 seite03.html
11.12.2006 19:36 18.905 seite02.html
11.12.2006 19:36 18.719 seite01.html
11.12.2006 19:36 19.189 OemLink.htm
11.12.2006 19:36 4.551 navigation-rechts.html
11.12.2006 19:36 19.189 index.html
10.12.2006 18:00 4.610 ModemLog_AVM ISDN BTX.txt
10.12.2006 18:00 4.162 ModemLog_AVM ISDN Custom Config.txt
10.12.2006 18:00 4.620 ModemLog_AVM ISDN FAX (G3).txt
10.12.2006 18:00 4.660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
10.12.2006 18:00 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
10.12.2006 18:00 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt
10.12.2006 18:00 4.630 ModemLog_AVM ISDN - ISDN (X.75).txt
10.12.2006 18:00 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
10.12.2006 18:00 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
07.11.2006 17:38 10.342.824 MRT.exe
01.11.2006 17:42 94.314 klogon.dll
29.10.2006 08:35 59.950 perfc009.dat
29.10.2006 08:35 404.518 perfh009.dat
29.10.2006 08:35 415.168 perfh007.dat
29.10.2006 08:35 70.766 perfc007.dat
29.10.2006 08:35 963.502 PerfStringBackup.INI






Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: A829-E733

Verzeichnis von C:\DOKUME~1\Michi\LOKALE~1\Temp

30.12.2006 21:20 16.384 ~DFC53F.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 31.173.275.648 Bytes frei







Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: A829-E733

Verzeichnis von C:\WINDOWS

30.12.2006 21:20 0 0.log
30.12.2006 21:19 50 wiaservc.log
30.12.2006 21:19 159 wiadebug.log
30.12.2006 21:18 2.048 bootstat.dat
30.12.2006 19:27 32.570 SchedLgU.Txt
23.12.2006 14:13 388 SIERRA.INI
13.12.2006 15:31 352 SYSTEM.INI
13.12.2006 15:31 1.066 win.ini
12.12.2006 18:35 3.777.402 setupapi.log
10.12.2006 18:01 6.016 ModemLog_Bluetooth Fax Modem.txt
10.12.2006 18:01 6.012 ModemLog_Bluetooth Modem.txt
10.12.2006 11:26 104.789 pxinstall_log.txt
03.12.2006 15:16 3.218 tm.ini
03.12.2006 15:15 124 tdf.dii
28.11.2006 20:48 316.640 WMSysPr9.prx
28.11.2006 20:41 487 Clony2.ini
11.11.2006 13:11 1.204 nefbcrjn.txt
07.11.2006 20:31 218.562 setupact.log
29.10.2006 18:24 398.741 DirectX.log






Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: A829-E733

Verzeichnis von C:\WINDOWS\Temp

30.12.2006 21:20 256 ZLT01b48.TMP
1 Datei(en) 256 Bytes
0 Verzeichnis(se), 31.173.132.288 Bytes frei







Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: A829-E733

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
29.01.2003 09:12 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
4 Datei(en) 6.943 Bytes
0 Verzeichnis(se), 31.173.263.360 Bytes frei






Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: A829-E733

Verzeichnis von C:\

30.12.2006 21:48 0 sys.txt
30.12.2006 21:48 474 down.txt
30.12.2006 21:48 265 tmp.txt
30.12.2006 21:47 23.702 system.txt
30.12.2006 21:47 280 systemtemp.txt
30.12.2006 21:47 109.360 system32.txt
30.12.2006 21:18 536.399.872 hiberfil.sys
30.12.2006 21:18 805.306.368 pagefile.sys
30.12.2006 16:34 939.929 hpfr3425.log
30.12.2006 16:32 525 hpfr3420.xml
13.12.2006 15:31 194 boot.ini
12.12.2006 18:07 4.358 avenger.txt
Seitenanfang Seitenende
31.12.2006, 15:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hourglass

««
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=dword:00000001 - in 0 aendern
"NoResolveSearch"=dword:00000001 - in 0 aendern

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xpsystem
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sais
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power Scan
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gzsh

Files to delete:
C:\WINDOWS\system32\.exe
C:\WINDOWS\gzsh.exe

Folders to delete:
C:\Programme\Power Scan
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb


falls sich die exe wieder neu erstellt - musst du sie suchen ud noch mal manuell loeschen
C:\WINDOWS\system32\.exe

»»
lade counterspy, das proggie muesste den krepper-Trojaner loeschen
http://virus-protect.org/counterspy.html
poste hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: