Home » Viren, Trojaner & Malware Forum » Anti Golden Virus » Themenansicht

Anti Golden Virus

Thema ist geschlossen!
Thema ist geschlossen!
#0
18.01.2007, 14:43
cowgummy
...neu hier

Beiträge: 3
#1 So, laso ich habe mir das Anti Golden Virus eingefangen.

Weiß jemand wie ich das wieder los werde?
Sry, das ich so wenig beschreibe, aber ich weiß auch nicht sorecht was ich dazu noch sagen soll.
Seitenanfang Seitenende
18.01.2007, 15:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 cowgummy

arbeite das ab und poste die logs hier
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2007, 17:02
cowgummy
...neu hier

Themenstarter

Beiträge: 3
#3 also das 1.:

Logfile of HijackThis v1.99.1
Scan saved at 16:58:04, on 18.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Object\isamonitor.exe
C:\Programme\Video ActiveX Object\pmsngr.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Video ActiveX Object\pmmon.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\Video ActiveX Object\isamini.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\cowgummy\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Video ActiveX Object\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programme\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://urdeadlolurdead.spaces.live.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

3. :"cowgummy" - 07-01-18 17:03:54 Service Pack 2
ComboFix 07-01-18 - Running from: "C:\Programme\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2006-12-18 to 2007-01-18 ))))))))))))))))))))))))))))))))))


2007-01-16 22:06 <DIR> d-------- C:\Programme\Enigma Software Group
2007-01-13 23:00 20,992 --a------ C:\WINDOWS\system32\gwquvw.dll
2007-01-13 23:00 <DIR> d-------- C:\Programme\Video ActiveX Object
2006-12-30 17:45 90,112 --a------ C:\WINDOWS\unvise32.exe
2006-12-30 17:45 <DIR> d-------- C:\Programme\SWiSHmax
2006-12-28 13:47 <DIR> d-------- C:\Programme\Carrera Streckenplaner


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-18 17:03 -------- d-------- C:\Programme\mozilla firefox
2007-01-18 13:48 -------- d-------- C:\DOKUME~1\cowgummy\Anwendungsdaten\teamspeak2
2007-01-18 13:34 -------- d---s---- C:\DOKUME~1\cowgummy\Anwendungsdaten\microsoft
2007-01-16 22:54 -------- d-------- C:\Programme\everest poker
2007-01-16 21:52 -------- d-------- C:\Programme\online services
2007-01-15 17:01 -------- d-------- C:\Programme\sonic
2007-01-15 15:17 -------- d-------- C:\Programme\bearshare
2007-01-09 23:03 -------- d-------- C:\Programme\visions
2006-12-16 18:43 -------- d-------- C:\Programme\gw team builder
2006-12-11 12:54 -------- d-------- C:\DOKUME~1\cowgummy\Anwendungsdaten\adobeum
2006-12-08 17:34 -------- d-------- C:\Programme\guild wars
2006-12-07 16:19 -------- d-------- C:\Programme\java
2006-12-07 16:15 -------- d-------- C:\Programme\ftp commander
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-03 21:20 -------- d-------- C:\Programme\scribe!
2006-12-02 20:50 -------- d-------- C:\Programme\xpage internet studio 6 special edition
2006-11-26 12:27 -------- d--h----- C:\Programme\zero g registry
2006-11-25 15:25 -------- d-------- C:\DOKUME~1\cowgummy\Anwendungsdaten\xfire
2006-11-25 13:10 -------- d---s---- C:\Programme\xfire
2006-11-20 12:28 -------- d--h----- C:\Programme\installshield installation information
2006-11-20 12:28 -------- d-------- C:\Programme\electronic arts
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"SigmatelSysTrayApp"="stsystra.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"DVDLauncher"="\"C:\\Programme\\CyberLink\\PowerDVD\\DVDLauncher.exe\""
"DMXLauncher"="C:\\Programme\\Dell\\Media Experience\\DMXLauncher.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"snp2std"="C:\\WINDOWS\\vsnp2std.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{8d8c2387-7f80-4022-9be6-43630a969558}"="carbinyl"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"carbinyl"="{8d8c2387-7f80-4022-9be6-43630a969558}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"
"none"="C:\\Programme\\Video ActiveX Object\\pmsngr.exe"
"isamini.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job

Completion time: 07-01-18 17:05:25

so und die letzten:
1.
18.01.2007 13:24 2.206 wpa.dbl
13.01.2007 23:00 20.992 gwquvw.dll
03.01.2007 00:19 10.980.776 MRT.exe
07.12.2006 16:19 8.891 jupdate-1.5.0_09-b03.log
07.12.2006 06:29 2.374.472 wmvcore.dll
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll

2. war nix^^

3.
07-01-18 17:04 1,409 QTFont.for
07-01-18 17:04 54,156 QTFont.qfn
07-01-18 16:52 0 0.log
07-01-18 16:52 50 wiaservc.log
07-01-18 16:52 1,746,071 WindowsUpdate.log
07-01-18 16:52 159 wiadebug.log
07-01-18 16:51 2,048 bootstat.dat
07-01-18 15:01 32,620 SchedLgU.Txt
07-01-18 13:38 10,448 setupapi.log
07-01-18 13:37 1,519 OEWABLog.txt


4. war nix

5. war was, aber schon länger her als 3 monate

6.
07-01-18 17:31 0 sys.txt
07-01-18 17:29 676 down.txt
07-01-18 17:29 117 tmp.txt
07-01-18 17:29 9,495 system.txt
07-01-18 17:28 136 systemtemp.txt
07-01-18 17:28 92,894 system32.txt
07-01-18 17:05 5,237 ComboFix2.txt
07-01-18 16:52 268 sqmdata03.sqm
07-01-18 16:52 244 sqmnoopt03.sqm


ich hoffe ihr könnt jetzt was damit anfangen xD
Dieser Beitrag wurde am 18.01.2007 um 17:33 Uhr von cowgummy editiert.
Seitenanfang Seitenende
19.01.2007, 01:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|none
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|carbinyl
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler|{8d8c2387-7f80-4022-9be6-43630a969558}

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8d8c2387-7f80-4022-9be6-43630a969558}

Files to delete:
C:\WINDOWS\system32\gwquvw.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\%Username%\Favoriten\Online Security Test.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\AGLanguage.ini
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntivirusGolden 3.3.lnk
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\AntivirusGolden 3.3.lnk
c:\dokumente und einstellungen\%Username%\anwendungsdaten\microsoft\internet explorer\quick launch\antivirusgolden 3.3.lnk

Folders to delete:
C:\Programme\Video ActiveX Object
C:\Programme\Antivirus-Golden
C:\Programme\AntivirusGolden
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntivirusGolden
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\AntivirusGolden
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus-Golden
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Antivirus-Golden

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.01.2007, 14:40
cowgummy
...neu hier

Themenstarter

Beiträge: 3
#5 Ein großes Dankeschön für die schnellen kompetenten Antworten.
Die Popups, etc sind weg ;)

Also falls ich wiedermal Probleme habe bin ich wieder da ;)

mfg cowgummy
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1