winlogon.exe: hoher upload

#1 hallo,
ich bin am verzweifeln: seit 2 wochen ist mein internet die meiste zeit auf isdn speed (hab dsl 1000), wenn überhaupt. programme wie netlimiter oder auch der einfache t-online speedmanager zeigen mir an, dass meine winlogon.exe zahlreiche verbinden sonstwohin aufbaut und fleißig daten hochlädt. ich habe so ziemlich jeden virenscanner laufen lassen den es gibt, mir dutzende forenbeiträge durchgelesen, bin aber nicht weitergekommen. eben bin ich auf dieses forum gestoßen, habe threads mit ähnlichen problemen und "individuellen" lösungen gefunden und möchte deshalb jetzt um "individuelle" hilfe bitten.


ich fange einfach mal an mit dem hijackthis log, dem SERVICEFILTER log, und den 6 datfind dateien:

HIJACKTHIS:
[/b]
Logfile of HijackThis v1.99.1
Scan saved at 20:16:17, on 07.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Keymaestro\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\hijackthis_1991\HijackThis.exe

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Keymaestro\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

SERVICEFILTER:
ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 1
Jan 7, 2007 19:43:33


===> Begin Service Listing <===

Unknown Service #1
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 3
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: iPod Service
Display Name: iPod Service
Start Mode: Manual
Start Name: LocalSystem
Description: iPod hardware management ...
Service Type: Own Process
Path: "c:\programme\ipod\bin\ipodservice.exe"
State: Running
Process ID: 204
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #5
Service Name: nhksrv
Display Name: Netropa NHK Server
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\keymaestro\multimedia keyboard\nhksrv.exe
State: Running
Process ID: 1764
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #6
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{aefcdda9-4e78-4f85-b6b1-54ce64a4b897}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: TODslService
Display Name: T-Online DSL-Manager
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\t-online\dsl-manager\todslsvc.exe"
State: Running
Process ID: 1616
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

---> End Service Listing <---

There are 83 Win32 services on this machine.
7 were unrecognized.

Script Execution Time: 0,84375 seconds.[/i]


DATFIND:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0410-F09E

Verzeichnis von C:\WINDOWS\system32

07.01.2007 19:12 43.520 CmdLineExt03.dll
07.01.2007 12:28 2.422 wpa.dbl
06.01.2007 22:53 81.684 gdsjafab.dll
06.01.2007 22:53 132.116 iudlafhh.dll
06.01.2007 19:03 21.840 SIntfNT.dll
06.01.2007 19:03 12.067 SIntf16.dll
06.01.2007 19:03 17.212 SIntf32.dll
05.01.2007 22:53 132.116 gxrfwwie.dll
05.01.2007 22:52 81.684 hniijiyh.dll
04.01.2007 22:51 81.684 yrobabxc.dll
22.12.2006 21:26 183.316 lpjlkybd.dll
21.12.2006 19:24 38.217 vwrlhddn.ini
06.12.2006 19:31 88.224 nvapps.nvb
06.12.2006 19:31 156.360 FNTCACHE.DAT
19.11.2006 17:34 131.604 xfbginwr.dll
02.11.2006 17:02 483.328 actskn45.ocx
01.11.2006 15:30 110.612 nyjfkjgc.exe



Verzeichnis von C:\DOKUME~1\hey\LOKALE~1\Temp

07.01.2007 19:39 878 dslmupdate.ini
07.01.2007 19:12 4.592 SIntfIcn.ani
07.01.2007 19:12 20.016 SIntf32.dll
07.01.2007 19:12 24.744 SIntfNT.dll
07.01.2007 19:12 12.305 SIntf16.dll
07.01.2007 12:43 16.384 ~DF171B.tmp
06.01.2007 23:07 14.108 BNe288.tmp
06.01.2007 21:02 16.384 ~DFB0C3.tmp
06.01.2007 21:02 16.384 ~DFA9EF.tmp
06.01.2007 19:51 24.652 BNe1AE.tmp
06.01.2007 18:40 74 Install.log
06.01.2007 15:30 16.384 ~DF6460.tmp

edit


Verzeichnis von C:\WINDOWS

07.01.2007 19:38 157 wiadebug.log
07.01.2007 19:38 50 wiaservc.log
07.01.2007 19:38 0 0.log
07.01.2007 19:38 2.048 bootstat.dat
07.01.2007 14:12 54.156 QTFont.qfn
07.01.2007 01:09 32.610 SchedLgU.Txt
06.01.2007 19:05 33.462 DIIUnin.dat
06.01.2007 18:40 2.829 DIIUnin.pif
06.01.2007 18:40 102.400 DIIUnin.exe
04.01.2007 15:46 1.409 QTFont.for
04.01.2007 12:50 315.435 setupapi.log
31.12.2006 14:51 525 setupact.log
29.12.2006 11:56 44.120 Windows Update.log
27.12.2006 17:07 10.602 wmsetup.log
26.12.2006 21:47 500 GEARInstall.log
23.12.2006 12:29 78.502 DirectX.log
10.12.2006 12:07 52 GunzLauncher.INI
06.12.2006 19:30 356 system.ini
19.11.2006 14:08 81.920 bwUnin-6.1.4.61-8876480L.exe
15.11.2006 20:49 2.949 msworks3.ini



Verzeichnis von C:\

07.01.2007 19:49 0 sys.txt
07.01.2007 19:49 616 down.txt
07.01.2007 19:49 3.207.773 tmp.txt
07.01.2007 19:49 5.243 system.txt
07.01.2007 19:48 31.991 systemtemp.txt
07.01.2007 19:48 111.953 system32.txt
07.01.2007 19:38 18.500 vm404.log
07.01.2007 19:38 1.610.612.736 pagefile.sys
07.01.2007 19:24 3.425 TDSLCheck.txt
23 Datei(en) 1.614.309.343 Bytes
0 Verzeichnis(se), 22.053.244.928 Bytes frei


edit:

hier noch der ROOTKIT REVEALER log:

HKU\S-1-5-21-682003330-920026266-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2774699F-A02D-5523-CF48-F61A32A23ECF}* 04.12.2006 21:29 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 26.07.2006 20:45 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 26.07.2006 20:45 0 bytes Key name contains embedded nulls (*)
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 13.08.2006 22:26 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 13.08.2006 22:26 111.50 KB Visible in Windows API, but not in MFT or directory index.


habe jetzt auch mal GMER laufen lassen:


[i]GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-07 23:00:51
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.12 ----

SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1A0 8050261C 4 Bytes [ D0, 32, 8B, F3 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 8050262C 4 Bytes [ D0, E0, 8B, F3 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1C4 80502640 12 Bytes [ 60, 6C, 8B, F3, E0, CE, 8B, ... ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4 80502650 4 Bytes [ D0, 06, 8C, F3 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1EC 80502668 4 Bytes [ 40, 6D, 8B, F3 ]
.text ...
.text ntdll.dll!NtClose 77F658AA 5 Bytes JMP 72033FAA
.text ntdll.dll!NtCreateProcess 77F659F4 5 Bytes JMP 72034135
.text ntdll.dll!NtCreateProcessEx 77F65A03 5 Bytes JMP 72034019
.text ntdll.dll!NtCreateSection 77F65A21 5 Bytes JMP 72033FC8
.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1A0 8050261C 4 Bytes [ D0, 32, 8B, F3 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 8050262C 4 Bytes [ D0, E0, 8B, F3 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1C4 80502640 12 Bytes [ 60, 6C, 8B, F3, E0, CE, 8B, ... ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4 80502650 4 Bytes [ D0, 06, 8C, F3 ]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1EC 80502668 4 Bytes [ 40, 6D, 8B, F3 ]
.text ...

---- User code sections - GMER 1.0.12 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[3536] kernel32.dll!MultiByteToWideChar 77E5A7FC 6 Bytes JMP 0266F990 C:\WINDOWS\Cursors\arsajva.dll

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F38C82A0] vsdatant.sys
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_CREATE E1985828
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_CLOSE E1985828
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_DEVICE_CONTROL E1985828
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-6 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_CREATE E14967D8
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_CLOSE E14967D8
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_DEVICE_CONTROL E14967D8
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F38C82A0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [F38C82A0] vsdatant.sys
Device \Driver\ftsata2 \Device\Scsi\ftsata21 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys
Device \Driver\viamraid \Device\Scsi\viamraid1 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys
Device \Driver\ftsata2 \Device\Scsi\ftsata21Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys
Device \Driver\ftsata2 \Device\Scsi\ftsata21Port2Path0Target4Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F7D37661] prosync1.sys

#2 skizzix

1.
Cleanup anwenden
http://virus-protect.org/cleanup.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\gdsjafab.dll
C:\WINDOWS\system32\iudlafhh.dll
C:\WINDOWS\system32\gxrfwwie.dll
C:\WINDOWS\system32\hniijiyh.dll
C:\WINDOWS\system32\yrobabxc.dll
C:\WINDOWS\system32\lpjlkybd.dll
C:\WINDOWS\system32\vwrlhddn.ini
C:\WINDOWS\system32\xfbginwr.dll
C:\WINDOWS\system32\nyjfkjgc.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste nochmal die 6 logs von datfindbat (bis September 2006)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 bin grade aus der schule gekommen, werde sofort anfangen. danke schonmal für die hilfe


das avenger log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vqjgoaly

*******************

Script file located at: \??\C:\WINDOWS\System32\mmtollnm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\gdsjafab.dll deleted successfully.
File C:\WINDOWS\system32\iudlafhh.dll deleted successfully.
File C:\WINDOWS\system32\gxrfwwie.dll deleted successfully.
File C:\WINDOWS\system32\hniijiyh.dll deleted successfully.
File C:\WINDOWS\system32\yrobabxc.dll deleted successfully.
File C:\WINDOWS\system32\lpjlkybd.dll deleted successfully.
File C:\WINDOWS\system32\vwrlhddn.ini deleted successfully.
File C:\WINDOWS\system32\xfbginwr.dll deleted successfully.
File C:\WINDOWS\system32\nyjfkjgc.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



hier die 6 datfind scripts:

Verzeichnis von C:\WINDOWS\system32

07.01.2007 22:54 81.684 umbjcvje.dll
07.01.2007 21:49 43.520 CmdLineExt03.dll
07.01.2007 12:28 2.422 wpa.dbl
06.01.2007 19:03 21.840 SIntfNT.dll
06.01.2007 19:03 12.067 SIntf16.dll
06.01.2007 19:03 17.212 SIntf32.dll
06.12.2006 19:31 88.224 nvapps.nvb
06.12.2006 19:31 156.360 FNTCACHE.DAT
02.11.2006 17:02 483.328 actskn45.ocx
29.10.2006 10:01 392.604 perfh009.dat
29.10.2006 10:01 58.712 perfc009.dat
29.10.2006 10:01 405.466 perfh007.dat
29.10.2006 10:01 70.700 perfc007.dat
29.10.2006 10:01 939.140 PerfStringBackup.INI
25.10.2006 19:15 65.536 QuickTimeVR.qtx
25.10.2006 19:15 49.152 QuickTime.qts
19.10.2006 21:51 67.604 nxctuycv.exe
08.10.2006 09:38 19.968 ixt0.dll
07.10.2006 18:11 4.286 ot.ico
07.10.2006 18:11 4.286 ts.ico
04.10.2006 17:02 143 mcrh.tmp
25.09.2006 20:22 143.380 tfupxdwa.exe
19.09.2006 15:43 109.360 GEARAspi.dll
04.09.2006 17:03 40.973 gebxwtq.dll

Verzeichnis von C:\DOKUME~1\hey\LOKALE~1\Temp

~LEER~


Verzeichnis von C:\WINDOWS

08.01.2007 17:57 50 wiaservc.log
08.01.2007 17:57 159 wiadebug.log
08.01.2007 17:57 0 0.log
08.01.2007 17:56 2.048 bootstat.dat
08.01.2007 17:55 32.610 SchedLgU.Txt
07.01.2007 23:10 356 gmer.ini
07.01.2007 22:51 80 gmer_uninstall.cmd
07.01.2007 22:51 565.311 gmer.dll
07.01.2007 14:12 54.156 QTFont.qfn
06.01.2007 19:05 33.462 DIIUnin.dat
06.01.2007 18:40 2.829 DIIUnin.pif
06.01.2007 18:40 102.400 DIIUnin.exe
04.01.2007 15:46 1.409 QTFont.for
04.01.2007 12:50 315.435 setupapi.log
31.12.2006 14:51 525 setupact.log
29.12.2006 11:56 44.120 Windows Update.log
27.12.2006 17:07 10.602 wmsetup.log
26.12.2006 21:47 500 GEARInstall.log
23.12.2006 12:29 78.502 DirectX.log
10.12.2006 12:07 52 GunzLauncher.INI
06.12.2006 19:30 356 system.ini
28.11.2006 15:23 573.440 gmer.exe
19.11.2006 14:08 81.920 bwUnin-6.1.4.61-8876480L.exe
15.11.2006 20:49 2.949 msworks3.ini
25.10.2006 15:07 2.546 win.ini
25.10.2006 15:07 83 artgalry.ini
23.10.2006 12:38 690 OEWABLog.txt
23.09.2006 11:58 942 iis6.log
23.09.2006 11:58 2.092 comsetup.log
23.09.2006 11:58 1.265 ntdtcsetup.log
23.09.2006 11:58 1.374 imsins.log
23.09.2006 11:58 2.348 tsoc.log
23.09.2006 11:58 168.186 svcpack.log
23.09.2006 11:55 307 msgsocm.log
23.09.2006 11:55 212 ocmsn.log
23.09.2006 11:55 3.085 ocgen.log
23.09.2006 11:55 6.183 FaxSetup.log
23.09.2006 11:52 2.049 vminst.log
23.09.2006 11:50 0 setuperr.log


Verzeichnis von C:\WINDOWS\Temp

~LEER~


Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf


Verzeichnis von C:\

08.01.2007 18:03 0 sys.txt
08.01.2007 18:03 616 down.txt
08.01.2007 18:03 117 tmp.txt
08.01.2007 18:02 5.247 system.txt
08.01.2007 18:01 131 systemtemp.txt
08.01.2007 18:01 111.553 system32.txt
08.01.2007 17:57 18.696 vm404.log
08.01.2007 17:56 1.610.612.736 pagefile.sys
08.01.2007 17:56 2.072 avenger.txt
07.01.2007 19:24 3.425 TDSLCheck.txt
25.09.2006 18:59 97 RTSPNetSrc.log
23.09.2006 11:53 47.580 NTDETECT.COM
23.09.2006 11:53 235.296 ntldr
15.09.2006 13:41 0 VDM2FB7.tmp
15.09.2006 13:41 0 VDM2FB5.tmp
07.09.2006 08:52 7 license.bin

#4 Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\umbjcvje.dll
C:\WINDOWS\system32\nxctuycv.exe
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\tfupxdwa.exe
C:\WINDOWS\system32\gebxwtq.dll

poste die 6 logs von datfinbat bis Mai 2006
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ich habe übrigens im juni oder juli 2006 windows neu drauf gemacht. weiss nicht ob das was ausmacht, aber ich dachte ich sollte es mal erwähnen. soll ich die "alten" zeilen von den logs eigentlich immer mitposten?



Verzeichnis von C:\WINDOWS\system32

08.01.2007 19:28 43.520 CmdLineExt03.dll
07.01.2007 12:28 2.422 wpa.dbl
06.01.2007 19:03 21.840 SIntfNT.dll
06.01.2007 19:03 12.067 SIntf16.dll
06.01.2007 19:03 17.212 SIntf32.dll
06.12.2006 19:31 88.224 nvapps.nvb
06.12.2006 19:31 156.360 FNTCACHE.DAT
02.11.2006 17:02 483.328 actskn45.ocx
29.10.2006 10:01 392.604 perfh009.dat
29.10.2006 10:01 405.466 perfh007.dat
29.10.2006 10:01 58.712 perfc009.dat
29.10.2006 10:01 70.700 perfc007.dat
29.10.2006 10:01 939.140 PerfStringBackup.INI
25.10.2006 19:15 65.536 QuickTimeVR.qtx
25.10.2006 19:15 49.152 QuickTime.qts
19.09.2006 15:43 109.360 GEARAspi.dll
26.08.2006 10:53 2.422 wpa.bak
25.08.2006 04:47 379.640 pxwave.dll
25.08.2006 04:47 514.808 px.dll
25.08.2006 04:47 129.784 pxafs.dll
25.08.2006 04:47 39.672 vxblock.dll
25.08.2006 04:47 63.144 pxcpya64.exe
25.08.2006 04:47 477.944 pxdrv.dll
25.08.2006 04:47 67.240 pxhpinst.exe
25.08.2006 04:47 62.632 pxinsa64.exe
25.08.2006 04:47 115.880 pxinsi64.exe
25.08.2006 04:47 183.032 pxmas.dll
25.08.2006 04:47 1.309.432 pxsfs.dll
11.08.2006 20:35 664 d3d9caps.dat
08.08.2006 22:27 257 spupdwxp.log
08.08.2006 21:03 1.075 NULL
08.08.2006 15:50 23.392 nscompat.tlb
08.08.2006 15:50 16.832 amcompat.tlb
08.08.2006 15:30 54.112 vsconfig.xml
31.07.2006 18:45 7.006 jupdate-1.5.0_06-b05.log
27.07.2006 17:10 4.212 zllictbl.dat
27.07.2006 06:19 146.650 BuzzingBee.wav
27.07.2006 06:19 125.690 LoopyMusic.wav
26.07.2006 21:25 0 h323log.txt
26.07.2006 20:50 25.065 wmpscheme.xml
26.07.2006 20:34 386 $winnt$.inf
26.07.2006 20:33 2.951 CONFIG.NT
26.07.2006 20:32 488 logonui.exe.manifest
26.07.2006 20:32 749 ncpa.cpl.manifest
26.07.2006 20:32 749 cdplayer.exe.manifest
26.07.2006 20:32 749 nwc.cpl.manifest
26.07.2006 20:32 749 wuaucpl.cpl.manifest
26.07.2006 20:32 749 sapi.cpl.manifest
26.07.2006 20:31 21.740 emptyregdb.dat
09.07.2006 12:42 42.920 vsutil_loc0407.dll
09.07.2006 12:42 392.824 vsdatant.sys
09.07.2006 12:42 71.672 zlcommdb.dll
09.07.2006 12:42 83.960 zlcomm.dll
09.07.2006 12:42 59.384 vswmi.dll
09.07.2006 12:42 100.344 vsxml.dll
09.07.2006 12:42 71.672 vsregexp.dll
09.07.2006 12:42 440.312 vsutil.dll
09.07.2006 12:42 104.440 vsmonapi.dll
09.07.2006 12:42 268.280 vspubapi.dll
09.07.2006 12:42 157.688 vsinit.dll
09.07.2006 12:42 83.960 vsdata.dll
09.07.2006 12:41 796.584 libeay32_0.9.6l.dll
18.06.2006 14:54 36.864 frapsvid.dll
01.06.2006 18:09 208.896 NVUNINST.EXE
01.06.2006 18:09 208.896 nvudisp.exe

Verzeichnis von C:\DOKUME~1\hey\LOKALE~1\Temp

08.01.2007 21:13 16.384 ~DF7015.tmp
08.01.2007 21:13 16.384 ~DF4A6F.tmp
08.01.2007 21:13 512 ~DF4A7E.tmp
08.01.2007 21:10 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}5115.html
08.01.2007 21:05 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}23018.html
08.01.2007 19:28 4.592 SIntfIcn.ani
08.01.2007 19:28 12.305 SIntf16.dll
08.01.2007 19:28 20.016 SIntf32.dll
08.01.2007 19:28 24.744 SIntfNT.dll
08.01.2007 18:25 16.384 ~DFA8FA.tmp
08.01.2007 18:25 16.384 ~DFA918.tmp
08.01.2007 18:25 16.384 ~DFA936.tmp
08.01.2007 18:25 16.384 ~DFA8DC.tmp
08.01.2007 18:09 16.384 ~DFC60.tmp
08.01.2007 18:09 16.384 ~DFE588.tmp


Verzeichnis von C:\WINDOWS

08.01.2007 21:12 159 wiadebug.log
08.01.2007 21:12 50 wiaservc.log
08.01.2007 21:12 0 0.log
08.01.2007 21:12 2.048 bootstat.dat
08.01.2007 21:11 32.610 SchedLgU.Txt
07.01.2007 23:10 356 gmer.ini
07.01.2007 22:51 80 gmer_uninstall.cmd
07.01.2007 22:51 565.311 gmer.dll
07.01.2007 14:12 54.156 QTFont.qfn
06.01.2007 19:05 33.462 DIIUnin.dat
06.01.2007 18:40 2.829 DIIUnin.pif
06.01.2007 18:40 102.400 DIIUnin.exe
04.01.2007 15:46 1.409 QTFont.for
04.01.2007 12:50 315.435 setupapi.log
31.12.2006 14:51 525 setupact.log
29.12.2006 11:56 44.120 Windows Update.log
27.12.2006 17:07 10.602 wmsetup.log
26.12.2006 21:47 500 GEARInstall.log
23.12.2006 12:29 78.502 DirectX.log
10.12.2006 12:07 52 GunzLauncher.INI
06.12.2006 19:30 356 system.ini
28.11.2006 15:23 573.440 gmer.exe
19.11.2006 14:08 81.920 bwUnin-6.1.4.61-8876480L.exe
15.11.2006 20:49 2.949 msworks3.ini
25.10.2006 15:07 2.546 win.ini
25.10.2006 15:07 83 artgalry.ini
23.10.2006 12:38 690 OEWABLog.txt
23.09.2006 11:58 942 iis6.log
23.09.2006 11:58 2.092 comsetup.log
23.09.2006 11:58 1.265 ntdtcsetup.log
23.09.2006 11:58 1.374 imsins.log
23.09.2006 11:58 2.348 tsoc.log
23.09.2006 11:58 168.186 svcpack.log
23.09.2006 11:55 307 msgsocm.log
23.09.2006 11:55 212 ocmsn.log
23.09.2006 11:55 3.085 ocgen.log
23.09.2006 11:55 6.183 FaxSetup.log
23.09.2006 11:52 2.049 vminst.log
23.09.2006 11:50 0 setuperr.log
31.08.2006 20:36 19 WININIT.INI
26.08.2006 10:53 16.054 setuplog.txt
09.08.2006 00:13 25 mixerdef.ini
08.08.2006 15:50 316.640 WMSysPr9.prx
08.08.2006 15:50 299.552 WMSysPrx.prx
31.07.2006 18:46 659 mozver.dat
28.07.2006 11:03 245 Msiosd.ini
27.07.2006 06:19 60.416 ALCFDRTM.EXE
27.07.2006 06:19 60.416 ALCFDRTM.VER
26.07.2006 21:27 0 nsreg.dat
26.07.2006 21:17 0 Sti_Trace.log
26.07.2006 20:35 8.192 REGLOCS.OLD
26.07.2006 20:33 0 control.ini
26.07.2006 20:32 4.161 ODBCINST.INI
26.07.2006 20:32 749 WindowsShell.Manifest
26.07.2006 20:31 36 vb.ini
26.07.2006 20:31 37 vbaddin.ini


Verzeichnis von C:\WINDOWS\Temp

~LEER~


Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
09.08.2006 20:29 540.672 HGStart9USA.exe
26.07.2006 20:32 65 desktop.ini



Verzeichnis von C:\

08.01.2007 21:19 0 sys.txt
08.01.2007 21:19 616 down.txt
08.01.2007 21:19 117 tmp.txt
08.01.2007 21:18 5.247 system.txt
08.01.2007 21:17 1.073 systemtemp.txt
08.01.2007 21:13 111.174 system32.txt
08.01.2007 21:12 18.745 vm404.log
08.01.2007 21:12 1.610.612.736 pagefile.sys
08.01.2007 21:12 1.902 avenger.txt
07.01.2007 19:24 3.425 TDSLCheck.txt
25.09.2006 18:59 97 RTSPNetSrc.log
23.09.2006 11:53 47.580 NTDETECT.COM
23.09.2006 11:53 235.296 ntldr
15.09.2006 13:41 0 VDM2FB7.tmp
15.09.2006 13:41 0 VDM2FB5.tmp
07.09.2006 08:52 7 license.bin
08.08.2006 21:03 308 TO_InstallLog.txt
26.07.2006 20:33 0 CONFIG.SYS
26.07.2006 20:33 0 MSDOS.SYS
26.07.2006 20:33 0 IO.SYS
26.07.2006 20:33 0 AUTOEXEC.BAT
26.07.2006 20:25 194 boot.ini

#6 skizzix

1. Öffne Notepad (editor) Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:

Zitat

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\Cursors
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit

3. Speichere die Datei als findtheother.bat auf dem Desktop

4. Doppel klick auf diese Datei findtheother.bat (abkopieren und posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ************************************
**These are the hidden files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0410-F09E

Verzeichnis von C:\WINDOWS\Cursors

10.11.2006 07:09 712.724 arsajva.dll
10.11.2006 07:10 772.662 avjasra.bak1
08.01.2007 20:44 580.954 avjasra.bak2
09.01.2007 12:00 626.434 avjasra.ini
4 Datei(en) 2.692.774 Bytes
0 Verzeichnis(se), 27.300.204.544 Bytes frei
************************************
**These are the system files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0410-F09E

Verzeichnis von C:\WINDOWS\Cursors

10.11.2006 07:09 712.724 arsajva.dll
10.11.2006 07:10 772.662 avjasra.bak1
08.01.2007 20:44 580.954 avjasra.bak2
09.01.2007 12:00 626.434 avjasra.ini
4 Datei(en) 2.692.774 Bytes
0 Verzeichnis(se), 27.300.200.448 Bytes frei

#8 1.
Avenger

Zitat

Files to delete:
C:\WINDOWS\Cursors\arsajva.dll
C:\WINDOWS\Cursors\avjasra.bak1
C:\WINDOWS\Cursors\avjasra.bak2
C:\WINDOWS\Cursors\avjasra.ini
C:\WINDOWS\system32\arsajva.dll

im backup vom Avenger findest du eine zip-Datei, wo die Viren (hoffentlich) drin sind-
schicke die bitte an virus@protecus.de

2.
scanne mit vundofix und poste den report
http://virus-protect.org/artikel/tools/vundofixx.html

3.
erstelle das gleiche script (siehe oben) noch mal, nenne es nicht findtheother.bat, sondern find.bat und poste den text
__________
MfG Sabina

rund um die PC-Sicherheit

#9 vundofix:
C:\WINDOWS\Cursors\arsajva.dll

find.bat:
************************************
**These are the hidden files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0410-F09E

Verzeichnis von C:\WINDOWS\Cursors

************************************
**These are the system files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0410-F09E

Verzeichnis von C:\WINDOWS\Cursors


da waren übrigens 3 backups im ordner. eins hieß nur backup, die anderen hatten jeweils noch das datum im namen und waren wesentlich kleiner. ich hab schonmal das normale backup geschickt.

#10 So habe ich es zwar noch nicht gesehen, aber das ist wohl eine Vundo Variante.

Dr Web Trojan.Virtumod
McAfee Vundo trojan
__________
MfG Ralf
SEO-Spam Hunter

#11 der Rechner muesste wieder sauber sein - deaktiviere noch die Systemwiederherstellung - dann wieder aktivieren.

dann scanne mit dr.web und poste den report
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 backup-20060904-180859-205.dll;C:\hijackthis_1991\backups;Adware.Zango;;
backup-20060904-180859-608.dll;C:\hijackthis_1991\backups;Adware.FastSearch;;
mirc.exe;C:\Programme\mIRC;Program.mIRC.60;;
HGStart9USA.exe;C:\WINDOWS\Downloaded Program Files;möglicherweise DLOADER.Trojan;;
actskn45.ocx;C:\WINDOWS\system32;Trojan.Isbar.439;Gelöscht.;

#13 loesche ausser mirc alles, was dr.web anzeigt.
kommen noch popups ????? - und wie steht es mit der Auslastung ?
__________
MfG Sabina

rund um die PC-Sicherheit

#14 popups bis jetzt keine mehr. netlimiter zeigt auch keine verbindungen an, der speedtest sagt auch dsl 1000 . sieht so aus als hättest du mich gerettet
was war denn das für ein virus? also das hauptproblem jetzt. kann man sich irgendwie davor schützen?