w32.warezov.gen4 und w32.killav Virus . Wie bekomme ich ihn los?

#0
25.01.2007, 19:07
...neu hier

Beiträge: 5
#1 Hallo, Ich bin verzweifelt, habe anscheinend viren auf meinem PC. Wenn ich ihn einschlate ist er sehr langsam und verweigert den internet zugriff, bis ich im taskmanager einige prozesse beende. Ich geb hier einfach mal die Hijack Log ein und hoffe ihr könnt mir helfen, brauche den Computer sehr dringend fürs Studium!

Danke schonmal im Vorraus

LOG:

Logfile of HijackThis v1.99.1
Scan saved at 17:33:45, on 25.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\WINDOWS\csrsd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\System32\brwconf.exe
O4 - HKLM\..\Run: [tpup] C:\WINDOWS\tpup.exe s
O4 - HKLM\..\Run: [sqhost] C:\WINDOWS\sqhost.exe s

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [csrsd.exe] C:\WINDOWS\csrsd.exe s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll confbrw.dll brwstat.dll diagisr.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\System32\slbipsch.dll

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Ich hoffe ihr könnt was damit anfangen! Danke
Seitenanfang Seitenende
26.01.2007, 01:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 paposi

«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

«
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

_________

mit diesen logs weiss ich, ob das avengerscript komplett ist ;)
http://virus-protect.org/artikel/spyware/warezov3.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 11:58
...neu hier

Themenstarter

Beiträge: 5
#3 Hey, danke, für die Hilfe hier sind die Logs

Als erstes der von Datfind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD0-7FAE

Verzeichnis von C:\WINDOWS\system32

28.01.2007 11:44 93.562 ikhcore.log
27.01.2007 20:01 2.206 wpa.dbl
23.01.2007 19:50 20.480 rdpwmsjt.exe
19.01.2007 15:47 200.768 klogon.dll
29.10.2006 13:26 398.180 perfh009.dat
29.10.2006 13:26 71.264 perfc007.dat
29.10.2006 13:26 408.830 perfh007.dat
29.10.2006 13:26 60.448 perfc009.dat
29.10.2006 13:26 950.298 PerfStringBackup.INI
28.10.2006 18:21 1.402 qtplugin.log
12.10.2006 10:36 212.080 FNTCACHE.DAT


und jetzt der von combofix:

"David" - 07-01-28 11:53:45 Service Pack 1
ComboFix 07-01-25 - Running from: "C:\Programme\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2006-12-28 to 2007-01-28 ))))))))))))))))))))))))))))))))))


2007-01-25 20:05 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Anwendungsdaten\vlc
2007-01-25 20:00 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-01-25 20:00 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-01-25 20:00 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-01-25 20:00 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-01-25 20:00 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-01-25 20:00 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-01-25 20:00 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-01-25 19:20 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-01-25 19:20 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Kaspersky Lab
2007-01-24 14:43 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2007-01-24 14:43 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP
2007-01-24 14:42 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2007-01-24 14:42 <DIR> d-------- C:\Programme\Spyware Doctor
2007-01-24 14:42 <DIR> d-------- C:\DOKUME~1\David\Anwendungsdaten\PC Tools
2007-01-23 18:19 <DIR> d-------- C:\Programme\FRISK Software
2007-01-23 18:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\FRISK Software
2007-01-23 17:05 83,664 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-01-23 17:05 110,352 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-01-23 17:05 <DIR> d-------- C:\Programme\Symantec
2007-01-23 17:05 <DIR> d-------- C:\Programme\Norton AntiVirus
2007-01-23 17:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-01-23 17:05 <DIR> d-------- C:\DOKUME~1\David\Anwendungsdaten\Symantec
2007-01-23 17:05 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Symantec
2007-01-23 16:41 <DIR> d-------- C:\Programme\Lavasoft
2007-01-23 16:41 <DIR> d-------- C:\DOKUME~1\David\Anwendungsdaten\Lavasoft
2007-01-23 16:38 <DIR> d-------- C:\Programme\Google
2007-01-23 16:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google Updater
2007-01-23 16:13 <DIR> d-------- C:\Programme\Guitar Explorer
2007-01-22 16:04 0 --a------ C:\WINDOWS\in0r6hai.reg
2007-01-21 19:56 15,104 -ra------ C:\WINDOWS\system32\drivers\avmunet.sys
2007-01-19 15:47 200,768 --a------ C:\WINDOWS\system32\klogon.dll
2007-01-16 14:57 3,144,800 --a------ C:\WINDOWS\f3da8e.reg
2007-01-15 14:42 <DIR> d-------- C:\Johnny_Cash_and_June_Carter_Cash-Duets-2006-MST
2007-01-15 10:27 561,168 --a------ C:\WINDOWS\system32\drivers\FStopW.sys
2007-01-14 19:28 <DIR> d---s---- C:\DOKUME~1\David\UserData
2007-01-11 17:58 <DIR> d-------- C:\Programme\Soulseek


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-28 11:53 -------- d-------- C:\Programme\mozilla firefox
2007-01-25 18:41 -------- d-------- C:\Programme\icqlite
2007-01-14 19:28 -------- d-------- C:\Programme\icqtoolbar
2007-01-09 15:02 -------- d-------- C:\Programme\lexmark x1100 series
2007-01-01 20:15 -------- d-------- C:\DOKUME~1\David\Anwendungsdaten\azureus
2006-12-14 16:03 -------- d-------- C:\DOKUME~1\David\Anwendungsdaten\macromedia
2006-12-11 23:57 -------- d-------- C:\DOKUME~1\David\Anwendungsdaten\icqlite
2006-12-11 21:59 -------- d---s---- C:\DOKUME~1\David\Anwendungsdaten\microsoft
2006-12-11 21:11 56920 --a------ C:\DOKUME~1\David\Anwendungsdaten\gdipfontcachev1.dat
2006-11-29 18:35 -------- d-------- C:\Programme\hollywoodpoker
2006-10-28 18:22 267 --a------ C:\DOKUME~1\David\Anwendungsdaten\config.xml


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Dit"="Dit.exe"
"SoundMan"="SOUNDMAN.EXE"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"PCMService"="C:\\Programme\\Medion Home CinemaXL\\PowerCinema\\PCMService.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"brwdiag"="C:\\WINDOWS\\System32\\brwconf.exe"
"sqhost"="C:\\WINDOWS\\sqhost.exe s"

"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"F-PROT Antivirus Tray application"="C:\\Programme\\FRISK Software\\F-PROT Antivirus for Windows\\FProtTray.exe"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="e1.dll confbrw.dll brwstat.dll"


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\FPAVServer

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


Completion time: 07-01-28 11:55:25
Seitenanfang Seitenende
28.01.2007, 15:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 es waere hilfreich, wenn du die 6 logs von datfindbat posten koenntest - ich kann die viren nicht erahnen ;)

ansonsten: wende das avengerscript an
http://virus-protect.org/artikel/spyware/warezov3.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 17:10
...neu hier

Themenstarter

Beiträge: 5
#5 Hey, das mit dem avangerscrip funktioniert irgendwie nicht, weiß nicht warum

Log 1:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD0-7FAE

Verzeichnis von C:\WINDOWS\system32

28.01.2007 16:59 103.295 ikhcore.log
27.01.2007 20:01 2.206 wpa.dbl
19.01.2007 15:47 200.768 klogon.dll
29.10.2006 13:26 398.180 perfh009.dat
29.10.2006 13:26 71.264 perfc007.dat
29.10.2006 13:26 408.830 perfh007.dat

Log 2:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD0-7FAE

Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp

28.01.2007 17:09 203 jusched.log
28.01.2007 17:06 40.960 rtdrvmon.exe
28.01.2007 16:59 32.768 ~DF2EF8.tmp
28.01.2007 11:45 32.768 ~DF3A25.tmp
4 Datei(en) 106.699 Bytes
0 Verzeichnis(se), 118.644.051.968 Bytes frei


Log 3:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD0-7FAE

Verzeichnis von C:\WINDOWS

28.01.2007 17:00 857.600 setupapi.log
28.01.2007 17:00 32.578 SchedLgU.Txt
28.01.2007 17:00 0 0.log
28.01.2007 16:59 159 wiadebug.log
28.01.2007 16:59 50 wiaservc.log
28.01.2007 16:59 2.048 bootstat.dat
25.01.2007 20:10 169.194 ntbtlog.txt
25.01.2007 18:43 0 eba2h6cc.dat
23.01.2007 17:53 6.080 sqhost.wax
23.01.2007 14:37 4 sqhost.c
23.01.2007 14:37 0 sqhost.s
23.01.2007 14:36 0 sqhost.z
23.01.2007 14:36 16 sqhost.dat
22.01.2007 16:04 0 in0r6hai.reg
21.01.2007 19:59 211 accessdll3.log
21.01.2007 19:59 139 accessdll.log
21.01.2007 19:58 211 accessdll1.log
21.01.2007 19:58 211 accessdll2.log
21.01.2007 19:56 630 avmadd32.log
21.01.2007 19:56 5.062 avmsetup.log
21.01.2007 19:55 956 avm14.log
16.01.2007 14:59 0 cknxj2wno.log
16.01.2007 14:57 3.144.800 f3da8e.reg
16.01.2007 13:47 0 ftg71cj1qx.dat
16.01.2007 13:46 280 tpup.wax
16.01.2007 13:46 0 tpup.z
16.01.2007 13:46 16 tpup.dat
10.01.2007 16:02 139.944 wmsetup.log
28.12.2006 15:53 0 aorvno91m.txt
26.12.2006 16:20 16 wqpd32.dat
25.12.2006 17:54 0 xt2in5uk.ini
16.12.2006 17:18 0 b6iqdkku.scf

13.12.2006 16:05 1.102 cdplayer.ini
23.10.2006 13:27 101 lexstat.ini
23.10.2006 13:23 18.458 Windows Update.log
06.10.2006 12:41 275.898 DirectX.log
06.10.2006 12:35 316.640 WMSysPr9.prx
03.10.2006 13:17 231 system.ini
22.09.2006 12:37 1.318 avm2E.log
17.09.2006 17:43 155 winamp.ini
09.09.2006 12:21 3.721 dahotfix.log
09.09.2006 12:21 19.451 dasetup.log
09.09.2006 12:20 4.161 ODBCINST.INI
09.09.2006 12:16 477 ODBC.INI
09.09.2006 11:47 1.440 COM+.log
08.09.2006 11:26 2.904 mozver.dat
07.09.2006 19:51 0 nsreg.dat
07.09.2006 17:21 1.920 regopt.log
07.09.2006 17:21 0 Sti_Trace.log
07.09.2006 17:18 0 setuperr.log
07.09.2006 17:16 583 win.ini
07.09.2006 17:14 591 xpsp1hfm.log
07.09.2006 17:14 1.670 Q331958.log
07.09.2006 17:14 624 avmcoins.log
07.09.2006 16:40 1.124 avm4F.log


Log 4
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD0-7FAE

Verzeichnis von C:\WINDOWS\Temp

28.01.2007 16:59 13.663.032 s154
28.01.2007 12:00 13.663.032 s10s.2
28.01.2007 11:45 13.663.032 s10s
3 Datei(en) 40.989.096 Bytes
0 Verzeichnis(se), 118.644.056.064 Bytes frei

Log 5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD0-7FAE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.09.2006 16:25 65 desktop.ini
30.06.2003 21:41 1.689 WMV9VCM.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
4 Datei(en) 3.613 Bytes
0 Verzeichnis(se), 118.644.056.064 Bytes frei


log 6

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD0-7FAE

Verzeichnis von C:\

28.01.2007 17:08 0 sys.txt
28.01.2007 17:08 487 down.txt
28.01.2007 17:07 356 tmp.txt
28.01.2007 17:07 6.222 system.txt
28.01.2007 17:06 392 systemtemp.txt
28.01.2007 17:05 92.460 system32.txt
28.01.2007 16:59 805.306.368 pagefile.sys
28.01.2007 11:55 6.799 ComboFix.txt
12.12.2006 00:14 150.495.718 ijij.wav
23.10.2006 13:28 168 setupfax.log
14.10.2006 13:13 0 EPG_Chan.log
06.10.2006 12:34 184 Setup.log
07.09.2006 16:26 0 CONFIG.SYS
07.09.2006 16:26 0 MSDOS.SYS
07.09.2006 16:26 0 AUTOEXEC.BAT
07.09.2006 16:26 0 IO.SYS
07.09.2006 16:23 194 boot.ini
29.08.2002 13:00 4.952 bootfont.bin
29.08.2002 13:00 47.580 NTDETECT.COM
29.08.2002 13:00 235.296 ntldr
20 Datei(en) 956.197.176 Bytes
0 Verzeichnis(se), 118.644.051.968 Bytes frei

Danke, für die Hilfe![/img]
Seitenanfang Seitenende
28.01.2007, 17:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sqhost
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tpup

Files to delete:
C:\WINDOWS\system32\rdpwmsjt.exe
C:\WINDOWS\csrsd.exe
C:\WINDOWS\eba2h6cc.dat
C:\WINDOWS\sqhost.wax
C:\WINDOWS\sqhost.c
C:\WINDOWS\sqhost.s
C:\WINDOWS\sqhost.z
C:\WINDOWS\sqhost.dat
C:\WINDOWS\in0r6hai.reg
C:\WINDOWS\accessdll3.log
C:\WINDOWS\accessdll.log
C:\WINDOWS\accessdll1.log
C:\WINDOWS\accessdll2.log
C:\WINDOWS\avmadd32.log
C:\WINDOWS\avmsetup.log
C:\WINDOWS\avm14.log
C:\WINDOWS\cknxj2wno.log
C:\WINDOWS\f3da8e.reg
C:\WINDOWS\ftg71cj1qx.dat
C:\WINDOWS\tpup.wax
C:\WINDOWS\tpup.z
C:\WINDOWS\tpup.dat
C:\WINDOWS\aorvno91m.txt
C:\WINDOWS\wqpd32.dat
C:\WINDOWS\xt2in5uk.ini
C:\WINDOWS\b6iqdkku.scf
C:\ijij.wav
C:\WINDOWS\Temp\s154
C:\WINDOWS\Temp\s10s.2
C:\WINDOWS\Temp\s10s

poste hier das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 18:19
...neu hier

Themenstarter

Beiträge: 5
#7 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ntpeguxw

*******************

Script file located at: \??\C:\WINDOWS\System32\jsyrpmwt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\rdpwmsjt.exe not found!
Deletion of file C:\WINDOWS\system32\rdpwmsjt.exe failed!

Could not process line:
C:\WINDOWS\system32\rdpwmsjt.exe
Status: 0xc0000034

File C:\WINDOWS\eba2h6cc.dat deleted successfully.
File C:\WINDOWS\sqhost.wax deleted successfully.
File C:\WINDOWS\sqhost.c deleted successfully.
File C:\WINDOWS\sqhost.s deleted successfully.
File C:\WINDOWS\sqhost.z deleted successfully.
File C:\WINDOWS\sqhost.dat deleted successfully.
File C:\WINDOWS\in0r6hai.reg deleted successfully.
File C:\WINDOWS\accessdll3.log deleted successfully.
File C:\WINDOWS\accessdll.log deleted successfully.
File C:\WINDOWS\accessdll1.log deleted successfully.
File C:\WINDOWS\accessdll2.log deleted successfully.
File C:\WINDOWS\avmadd32.log deleted successfully.
File C:\WINDOWS\avmsetup.log deleted successfully.
File C:\WINDOWS\avm14.log deleted successfully.
File C:\WINDOWS\cknxj2wno.log deleted successfully.
File C:\WINDOWS\f3da8e.reg deleted successfully.
File C:\WINDOWS\ftg71cj1qx.dat deleted successfully.
File C:\WINDOWS\tpup.wax deleted successfully.
File C:\WINDOWS\tpup.z deleted successfully.
File C:\WINDOWS\tpup.dat deleted successfully.
File C:\WINDOWS\aorvno91m.txt deleted successfully.
File C:\WINDOWS\wqpd32.dat deleted successfully.
File C:\WINDOWS\xt2in5uk.ini deleted successfully.
File C:\WINDOWS\b6iqdkku.scf deleted successfully.
File C:\ijij.wav deleted successfully.
File C:\WINDOWS\Temp\s154 deleted successfully.
File C:\WINDOWS\Temp\s10s.2 deleted successfully.
File C:\WINDOWS\Temp\s10s deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|brwdiag deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sqhost deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
28.01.2007, 18:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nun muesste der virus runter sein - ueberpruefe, ob die windowsupdates funktionieren - das ist wahrscheinlich nicht der fall, aber wie ich sehe, bist du mit deinem ungepatchten Rechner auch nicht an den Updates interessiert. ;)
nun - wenigtens der virus ist geloescht ...........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.01.2007, 18:24
...neu hier

Themenstarter

Beiträge: 5
#9 Vielen, Vielen Dank! Ich hoffe jetzt läufts wieder
Seitenanfang Seitenende
28.01.2007, 20:04
Member

Beiträge: 42
#10 @ paposi

Virenfrei ist die eine Sache..........

Wie im letzten Post von sabina gesagt:

Windows updaten d.h. neueste Sicherheitspatches einspielen, sofern Du eine legale Win-Version hast !!!!! Falls nicht, wirst Du sehr bald neue "Probleme" haben !!!!
Seitenanfang Seitenende