TR/Dldr.Agent.AP.2 immer wieder neue TR/Spy.Agent.PS 1-4

#0
04.02.2007, 19:57
...neu hier

Beiträge: 4
#1 Hallo,
kann mir bitte jemand helfen. Mein PC ist seit ein paar Tagen von unterschiedlichen Trojanischen Pferden befallen.
Ich habe folgende Trojanische Pferde in unterschiedlciehn Dateien mit Antivir gefunden:
TR/Dldr.Agent.AP.2
TR/Spy.Agent.PS.4
TR/Spy.Agent.PS.3
TR/Spy.Agent.PS.2
TR/Spy.Agent.PS.1

Das Problem ist, dass ständig neue Trojaner bei mir auftauchen in total unterschiedlcihen Dateien. Obwohl die infizierten Datein in Quarantäne sind oder zum Teil gelöscht wurden, tauchen trotzem immer wieder die selben Trojaner an unterschiedlcihen Orten (Datein/Quellen) auf.

Kann mir jemand sagen, wie ich diese nervigen Trojanischen Pferde entgültig loswerde? BITTE

Hier der Logfile von HiJackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:31:46, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Programme\AdsGone\adsgone.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis\HijackThis.exe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O2 - BHO: InstaFinder - {4E7BD74F-2B8D-469E-DCF7-F96DA086B434} - C:\WINDOWS\DOWNLO~1\instafin.dll (file missing)
O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\system32\lmf32v.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [ZwSystemService] spoolsrv.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AdsGone 2004.lnk = C:\Programme\AdsGone\adsgone.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\system32\lmf32v.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe
O23 - Service: Network Security Service (__NS_Service_3) - Unknown owner - C:\WINDOWS\system32\atlhz32.exe (file missing)


Ich wäre euch sehr dankebar, wenn mir jemand helfen kann.
Danke im Vorraus
Seitenanfang Seitenende
04.02.2007, 23:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 savashi

««
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2007, 00:37
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo,
danke schon mal für die schnelle Antwort. Ich bin den Anweisungen gefolgt und hier sind die jeweiligen Reports/Logfiles:

von Combofix:

"............" - 07-02-05 0:17:14 Service Pack 2
ComboFix 07.02.04 - Running from: "C:\Dokumente und Einstellungen\..............."

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\REGEDIT.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com


((((((((((((((((((((((((((((((( Files Created from 2007-01-05 to 2007-02-05 ))))))))))))))))))))))))))))))))))


2007-02-04 19:30 <DIR> d-------- C:\Programme\HijackThis
2007-02-04 18:00 <DIR> d-------- C:\Programme\ahead
2007-02-03 18:42 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Anwendungsdaten\T-Online
2007-01-31 19:13 <DIR> d-------- C:\WINDOWS\SYSTEM32\NtmsData
2007-01-30 22:32 <DIR> d-------- C:\WINDOWS\Hewlett-Packard
2007-01-30 22:31 <DIR> d-------- C:\Programme\Overland
2007-01-30 19:53 626,960 -ra------ C:\WINDOWS\SYSTEM32\hpvaut32.dll
2007-01-30 19:53 487,424 -ra------ C:\WINDOWS\SYSTEM32\hpvcp70.dll
2007-01-30 19:53 44,544 -ra------ C:\WINDOWS\SYSTEM32\MSXML4a.dll
2007-01-30 19:53 344,064 -ra------ C:\WINDOWS\SYSTEM32\hpvcr70.dll
2007-01-30 19:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-01-30 19:41 <DIR> d-------- C:\Programme\HP
2007-01-28 21:11 <DIR> d-------- C:\DOKUME~1\DANIEL~1\Anwendungsdaten\HP
2007-01-26 14:53 170 --a------ C:\WINDOWS\SYSTEM32\iebdfex.dll
2007-01-26 14:53 0 --a------ C:\WINDOWS\SYSTEM32\iedebug.dll
2007-01-25 18:59 4 --a------ C:\WINDOWS\SYSTEM32\ieurld.dll
2007-01-25 18:48 80 --a------ C:\WINDOWS\SYSTEM32\iepref32.dll
2007-01-25 18:48 0 --a------ C:\WINDOWS\SYSTEM32\ierplc.dll
2007-01-06 11:44 50,688 --------- C:\WINDOWS\SYSTEM32\wbhelp2.dll
2007-01-05 19:59 81,920 --a------ C:\WINDOWS\SYSTEM32\ZDPN50.dll
2007-01-05 19:59 32,768 --a------ C:\WINDOWS\Zdcndis5a64.sys
2007-01-05 19:59 31,744 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ZDPSp50a64.sys
2007-01-05 19:59 28,672 --a------ C:\WINDOWS\SYSTEM32\InsDrvZD.dll
2007-01-05 19:59 24,576 --a------ C:\WINDOWS\SYSTEM32\ZyDelReg.exe
2007-01-05 19:59 20,608 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\BRGSp50.sys
2007-01-05 19:59 18,944 --a------ C:\WINDOWS\ZDCndis5.sys
2007-01-05 19:59 17,664 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ZDPSp50.sys
2007-01-05 19:59 17,151 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ZDPNDIS5.sys
2007-01-05 19:59 15,872 --a------ C:\WINDOWS\SYSTEM32\InsDrvZD64.DLL
2007-01-05 19:59 102,400 --a------ C:\WINDOWS\ZDCN50.dll
2007-01-05 19:59 102,400 --a------ C:\WINDOWS\SYSTEM32\W32N55.DLL
2007-01-05 19:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-01-05 18:52 <DIR> dr--s---- C:\WINDOWS\assembly
2007-01-05 18:52 <DIR> d-------- C:\WINDOWS\SYSTEM32\URTTemp
2007-01-05 18:52 <DIR> d-------- C:\WINDOWS\Microsoft.NET
2007-01-05 18:48 <DIR> d-------- C:\DOKUME~1\DANIEL~1\Anwendungsdaten\T-Online
2007-01-05 18:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\T-Online
2007-01-05 18:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-01-05 18:45 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-01-05 18:45 <DIR> d-------- C:\Programme\T-Online


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-05 00:14 -------- d-------- C:\Programme\mozilla firefox
2007-02-04 18:36 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-04 14:03 -------- d-------- C:\Programme\intervideo
2007-01-31 19:09 -------- d-------- C:\Programme\hewlett-packard
2007-01-30 22:34 1819 --a------ C:\DOKUME~1\DANIEL~1\Anwendungsdaten\hpcom_48bitscanupdate.log
2007-01-30 22:31 -------- d---s---- C:\DOKUME~1\DANIEL~1\Anwendungsdaten\microsoft
2007-01-13 18:17 -------- d-------- C:\Programme\warcraft iii
2007-01-10 19:16 -------- d-------- C:\Programme\java
2007-01-08 09:44 -------- d-------- C:\Programme\hp deskjet 840c series
2007-01-07 12:22 -------- d-------- C:\Programme\zero g registry
2007-01-07 12:13 -------- d--h----- C:\Programme\installshield installation information
2007-01-07 12:13 -------- d-------- C:\Programme\fotostation easy
2007-01-07 12:11 -------- d-------- C:\Programme\sony ericsson
2007-01-07 12:11 -------- d-------- C:\Programme\Gemeinsame Dateien\teleca shared
2007-01-07 12:07 -------- d-------- C:\Programme\phase5
2007-01-07 12:07 -------- d-------- C:\Programme\mywebsearch
2007-01-07 12:07 -------- d-------- C:\Programme\microsoft works
2007-01-07 12:07 -------- d-------- C:\Programme\microsoft picture it!
2007-01-07 12:06 -------- d-------- C:\Programme\icq
2007-01-07 12:06 -------- d-------- C:\Programme\common files
2007-01-07 12:06 -------- d-------- C:\Programme\bearshare
2006-12-27 13:18 -------- d-------- C:\Programme\pokerstars
2006-12-24 15:16 352137 --a------ C:\swlist.reg
2006-11-08 06:06 679424 --a------ C:\WINDOWS\SYSTEM32\inetcomm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"WorksFUD"="C:\\Programme\\Microsoft Works\\wkfud.exe"
"Microsoft Works Portfolio"="C:\\Programme\\Microsoft Works\\WksSb.exe /AllUsers"
"AdaptecDirectCD"="\"C:\\Programme\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\point32.exe\""
"nwiz"="nwiz.exe /install"
"BTUSRBDG"="BtUsrBdg.exe"
"BTSETBOOTKEY"="BTSetBootKey.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"BCMSMMSG"="BCMSMMSG.exe"
"ZwSystemService"="spoolsrv.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb12.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
tapisrv REG_MULTI_SZ Tapisrv\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-05 0:24:37




1.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30D0-00C4

Verzeichnis von C:\WINDOWS\SYSTEM32

05.02.2007 00:13 1.170 WPA.DBL
04.02.2007 14:05 6 reboot.txt
02.02.2007 21:29 4 ieurld.dll
02.02.2007 16:50 170 iebdfex.dll
02.02.2007 16:43 0 ierplc.dll
26.01.2007 14:53 0 iedebug.dll
25.01.2007 18:59 80 iepref32.dll
10.01.2007 19:16 9.132 jupdate-1.5.0_10-b03.log
09.01.2007 13:15 380.486 PERFH009.DAT
09.01.2007 13:15 391.330 PERFH007.DAT
09.01.2007 13:15 52.900 PERFC009.DAT
09.01.2007 13:15 63.778 PERFC007.DAT
09.01.2007 13:15 897.778 PerfStringBackup.INI
08.01.2007 09:44 202.528 FNTCACHE.DAT
07.01.2007 12:19 4.326 qtplugin.log
06.01.2007 11:45 70.637 NULL
03.01.2007 00:19 10.980.776 MRT.exe
28.11.2006 16:09 16.832 amcompat.tlb
28.11.2006 16:09 23.392 nscompat.tlb
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll
03.11.2006 10:02 8.282.112 wmploc.dll
03.11.2006 09:56 99.840 wmpshell.dll
03.11.2006 09:55 275.968 wmerror.dll
03.11.2006 09:54 8.192 asferror.dll
02.11.2006 11:51 43.008 wpdshextres.dll
23.10.2006 16:17 664.576 wininet.dll
23.10.2006 16:17 615.936 urlmon.dll
23.10.2006 16:17 1.494.528 shdocvw.dll
23.10.2006 16:17 474.624 shlwapi.dll
23.10.2006 16:17 39.424 pngfilt.dll
23.10.2006 16:17 448.512 mshtmled.dll
23.10.2006 16:17 3.076.096 mshtml.dll
23.10.2006 16:17 146.432 msrating.dll
23.10.2006 16:17 532.480 mstime.dll
23.10.2006 16:17 96.768 inseng.dll
23.10.2006 16:17 205.312 dxtrans.dll
23.10.2006 16:17 16.384 jsproxy.dll
23.10.2006 16:17 1.022.976 browseui.dll
23.10.2006 16:17 251.392 iepeers.dll
23.10.2006 16:17 1.056.256 danim.dll
23.10.2006 16:17 55.808 extmgr.dll
23.10.2006 16:17 357.888 dxtmsft.dll
23.10.2006 16:17 152.064 cdfview.dll
23.10.2006 12:42 123.392 xpsp3res.dll
20.10.2006 02:38 715.776 sxs.dll
18.10.2006 21:58 8.704 uwdf.exe
18.10.2006 21:58 8.704 wdfmgr.exe
18.10.2006 21:47 603.648 WMSPDMOD.dll
18.10.2006 21:47 1.329.152 WMSPDMOE.dll
18.10.2006 21:47 4.096 WMVADVD.dll
18.10.2006 21:47 4.096 WMVADVE.DLL
18.10.2006 21:47 2.450.944 wmvcore.dll
18.10.2006 21:47 1.543.680 WMVDECOD.dll
18.10.2006 21:47 4.096 wmsdmoe2.dll
18.10.2006 21:47 4.096 wmvdmod.dll
18.10.2006 21:47 133.632 WPDShServiceObj.dll
18.10.2006 21:47 2.603.008 WpdShext.dll
18.10.2006 21:47 2.450.944 SET7D.tmp
18.10.2006 21:47 4.096 wmvdmoe2.dll
18.10.2006 21:47 63.488 wpdmtpus.dll
18.10.2006 21:47 1.574.912 WMVENCOD.dll
18.10.2006 21:47 356.352 wpdsp.dll
18.10.2006 21:47 629.760 wpd_ci.dll
18.10.2006 21:47 1.382.912 WMVSDECD.dll
18.10.2006 21:47 767.488 WMVSENCD.dll
18.10.2006 21:47 656.896 WMVXENCD.dll
18.10.2006 21:47 154.624 wpdmtp.dll
18.10.2006 21:47 35.840 wpdconns.dll
18.10.2006 21:47 4.096 wmsdmod.dll
18.10.2006 21:47 348.672 wmdrmnet.dll
18.10.2006 21:47 204.288 wmpsrcwp.dll
18.10.2006 21:47 535.040 wmdrmsdk.dll
18.10.2006 21:47 130.048 wmpps.dll
18.10.2006 21:47 157.184 wmidx.dll
18.10.2006 21:47 613.376 wmpmde.dll
18.10.2006 21:47 937.984 WMNetMgr.dll
18.10.2006 21:47 1.661.440 wmpencen.dll
18.10.2006 21:47 295.936 wmpeffects.dll
18.10.2006 21:47 314.880 wmpdxm.dll
18.10.2006 21:47 10.834.432 wmp.dll
18.10.2006 21:47 242.688 SETC0.tmp
18.10.2006 21:47 242.688 wmpasf.dll
18.10.2006 21:47 199.168 PortableDeviceWMDRM.dll
18.10.2006 21:47 222.208 wmasf.dll
18.10.2006 21:47 33.792 wmdmlog.dll
18.10.2006 21:47 1.117.696 WMADMOE.dll
18.10.2006 21:47 4.096 wdfapi.dll
18.10.2006 21:47 166.912 PortableDeviceTypes.dll
18.10.2006 21:47 757.248 WMADMOD.dll
18.10.2006 21:47 284.160 PortableDeviceApi.dll
18.10.2006 21:47 222.208 SET71.tmp
18.10.2006 21:47 37.376 wmdmps.dll
18.10.2006 21:47 429.056 wmdrmdev.dll
18.10.2006 21:47 211.456 qasf.dll
18.10.2006 21:47 132.096 PortableDeviceWiaCompat.dll
18.10.2006 21:47 101.888 PortableDeviceClassExtension.dll
18.10.2006 21:47 27.136 mspmsnsv.dll
18.10.2006 21:47 179.712 msnetobj.dll
18.10.2006 21:47 321.536 mswmdm.dll
18.10.2006 21:47 414.208 msscp.dll
18.10.2006 21:47 175.616 mspmsp.dll
18.10.2006 21:47 4.096 MP4SDMOD.dll
18.10.2006 21:47 259.072 MPG4DECD.dll
18.10.2006 21:47 259.072 MP43DECD.dll
18.10.2006 21:47 4.096 MP43DMOD.dll
18.10.2006 21:47 212.992 MFPLAT.dll
18.10.2006 21:47 4.096 MPG4DMOD.dll
18.10.2006 21:47 11.264 LAPRXY.dll
18.10.2006 21:47 317.440 MP4SDECD.dll
18.10.2006 21:47 542.720 blackbox.dll
18.10.2006 21:47 229.376 cewmdm.dll
18.10.2006 21:47 991.744 drmv2clt.dll
18.10.2006 21:47 276.992 audiodev.dll
18.10.2006 20:05 232.448 l3codecp.acm
18.10.2006 20:03 100.864 logagent.exe
18.10.2006 20:00 249.856 drmupgds.exe
18.10.2006 20:00 17.408 wpdshextautoplay.exe
13.10.2006 13:35 146.432 nwprovau.dll
02.10.2006 15:28 312.128 msdelta.dll

2
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30D0-00C4

Verzeichnis von C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp

05.02.2007 00:14 49.152 ~DF1C53.tmp
1 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 51.318.616.064 Bytes frei


3
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30D0-00C4

Verzeichnis von C:\WINDOWS

05.02.2007 00:14 71 WinNetOptimize98ag.cfg
05.02.2007 00:13 0 0.log
05.02.2007 00:13 159 WIADEBUG.LOG
05.02.2007 00:13 1.828.109 WindowsUpdate.log
05.02.2007 00:12 50 WIASERVC.LOG
05.02.2007 00:12 2.048 BOOTSTAT.DAT
05.02.2007 00:11 32.084 SchedLgU.Txt
04.02.2007 18:00 42.736 setupapi.log
04.02.2007 16:37 69 NeroDigital.ini
04.02.2007 16:00 8.704 Thumbs.db
03.02.2007 16:16 456.008 wmsetup.log
02.02.2007 10:36 54.156 QTFont.qfn
31.01.2007 18:35 1.044 WIN.INI
30.01.2007 22:34 214 HP_48BitScanUpdatePatch.ini
30.01.2007 22:00 86.226 DirectX.log
16.01.2007 18:44 43.723 wmsetup10.log
11.01.2007 00:09 161.560 IIS6.LOG
11.01.2007 00:09 405.596 TSOC.LOG
11.01.2007 00:09 1.374 imsins.log
11.01.2007 00:09 213.823 ntdtcsetup.log
11.01.2007 00:09 50.364 OCMSN.LOG
11.01.2007 00:09 302.616 comsetup.log
11.01.2007 00:09 10.597 KB929969.log
11.01.2007 00:09 458.504 ocgen.log
11.01.2007 00:09 52.353 MSGSOCM.LOG
11.01.2007 00:09 1.021.683 FaxSetup.log
10.01.2007 11:42 1.409 QTFont.for
09.01.2007 13:14 1.086.885 setupapi.log.1.old
06.01.2007 11:43 211 uno.ini
05.01.2007 22:13 8.620 ModemLog_BCM V.92 56K Modem.txt
05.01.2007 19:13 1.452 COM+.log
16.12.2006 03:06 1.393 imsins.BAK
16.12.2006 03:06 17.910 KB925454.log
16.12.2006 03:06 42.289 updspapi.log
16.12.2006 03:06 17.204 KB925398.log
16.12.2006 03:02 11.200 KB926255.log
16.12.2006 03:02 11.066 KB923694.log
11.12.2006 11:58 1.187 ie7_main.log
28.11.2006 16:09 79.844 spupdsvc.log
27.11.2006 21:57 5.707 KB926239.log
27.11.2006 21:56 4.110 MSCompPackV1.log
27.11.2006 21:55 24.793 wmp11.log
27.11.2006 21:53 33.265 WMFDist11.log
27.11.2006 21:52 316.640 WMSysPr9.prx
27.11.2006 21:51 19.038 Wudf01000Inst.log
17.11.2006 00:29 15.993 KB923980.log
17.11.2006 00:29 16.122 KB924270.log
17.11.2006 00:28 15.337 KB920213.log
17.11.2006 00:28 18.109 KB922760.log


4
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30D0-00C4

Verzeichnis von C:\WINDOWS\temp


5
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30D0-00C4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

03.11.2005 20:24 495 LegitCheckControl.inf
15.10.2004 07:53 110.592 PURde-xx.dll
08.10.2004 16:13 587 MSNPupld.inf
08.10.2004 16:01 372.736 MsnPUpld.dll
22.09.2004 15:59 110.592 PURen-us.dll
11.03.2004 12:35 1.271 erma.inf
27.05.2003 18:24 233.472 yacscom.dll
24.02.2003 15:10 3.540 swflash.inf
15.11.2002 12:23 901 iuctl.inf
31.08.2001 14:45 65 DESKTOP.INI
17.04.2000 13:04 3.072 voxacm.inf
10.04.2000 17:12 1.765 fhg.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
13 Datei(en) 840.250 Bytes
0 Verzeichnis(se), 51.318.558.720 Bytes frei


6
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30D0-00C4

Verzeichnis von C:\

05.02.2007 00:30 0 sys.txt
05.02.2007 00:30 910 down.txt
05.02.2007 00:30 117 tmp.txt
05.02.2007 00:30 18.028 system.txt
05.02.2007 00:29 295 systemtemp.txt
05.02.2007 00:28 109.832 system32.txt
05.02.2007 00:24 8.581 ComboFix.txt
05.02.2007 00:12 267.243.520 hiberfil.sys
05.02.2007 00:12 402.653.184 pagefile.sys
04.02.2007 16:40 4.382 devicetable.log
06.01.2007 11:45 532 TO_InstallLog.txt
24.12.2006 15:16 352.137 swlist.reg
06.08.2005 13:56 210 BOOT.INI
27.10.2004 17:55 211 BOOT.BKK
27.10.2004 17:45 47.564 NTDETECT.COM
27.10.2004 17:45 251.184 NTLDR
22.05.2004 15:30 192 BcBtRmv.log
16.11.2003 14:56 201 UVS7_WKLog.txt
13.08.2003 10:59 11.451 plugins.htm
13.08.2003 10:59 4.329 versions.dat
26.06.2003 12:21 0 IO.SYS
26.06.2003 12:21 0 MSDOS.SYS
15.01.2003 18:34 1.821 aconti.log1
20.08.2002 15:55 3.498 DELL.SDR
31.08.2001 14:46 0 AUTOEXEC.BAT
31.08.2001 14:46 0 CONFIG.SYS
31.08.2001 14:24 512 BOOTSECT.DOS
18.08.2001 05:00 4.952 BOOTFONT.BIN
24.05.2001 11:59 162.304 UNWISE.EXE
29 Datei(en) 670.879.947 Bytes
0 Verzeichnis(se), 51.318.546.432 Bytes frei


so hier sind alle Reports. Es sollte ansich nichts fehlen. Bin gespannt ob man mit diesen Hyroglyphen was anfange kann.
Nochmals vielen vielen dank im vorraus.
Dieser Beitrag wurde am 05.02.2007 um 00:46 Uhr von savashi editiert.
Seitenanfang Seitenende
05.02.2007, 09:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Network Security Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

atlhz32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{DFAA31C8-A356-4313-9D95-5EDAB46C5070}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}]
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HyperLinker
HKEY_LOCAL_MACHINE\SOFTWARE\LM

Files to delete:
C:\WINDOWS\system32\atlhz32.exe
C:\WINDOWS\Downloaded Program Files\instafin.dll
C:\WINDOWS\system32\lmf32v.dll
C:\WINDOWS\SYSTEM32\reboot.txt
C:\WINDOWS\SYSTEM32\ieurld.dll
C:\WINDOWS\SYSTEM32\iebdfex.dll
C:\WINDOWS\SYSTEM32\ierplc.dll
C:\WINDOWS\SYSTEM32\iedebug.dll
C:\WINDOWS\SYSTEM32\iepref32.dll
C:\WINDOWS\SYSTEM32\lmdv.bin
C:\WINDOWS\SYSTEM32\PreUninstall.exe
C:\WINDOWS\SYSTEM32\uninst.exe
C:\WINDOWS\SYSTEM32\Uninst.log
C:\WINDOWS\SYSTEM32\HyperLinker3.exe

Folders to delete:
C:\Programme\pokerstars
C:\Programme\quickbar
C:\Programme\mywebsearch
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste hier das log vom Avenger, was nach neustart erscheint


««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

----------------------------------------------------------------------

««
SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und hier in den Beitrag

____________________________________________________________________________________

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/

O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll

O2 - BHO: InstaFinder - {4E7BD74F-2B8D-469E-DCF7-F96DA086B434} - C:\WINDOWS\DOWNLO~1\instafin.dll (file missing)

O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\system32\lmf32v.dll (file missing)

O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\system32\lmf32v.dll


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2007, 12:14
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo, nochmals danke für die schnelle Antwort.

Ich habe die fixme.reg zur Regestry zugefügt.
Aber Anwendung mit http://virus-protect.org/artikel/tools/regsearch.html funktioniert nicht ganz so, wie es sein sollte.
Wenn ich {DFAA31C8-A356-4313-9D95-5EDAB46C5070} , Network Security Service oder atlhz32 in Registry Search eingebe, erscheint nach dem search ein Fenster mit der Nachricht ,,Integer overflow''.
Was jetzt?
Seitenanfang Seitenende
05.02.2007, 12:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 versuche es mit diesem proggie

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

(siehe oben)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2007, 20:34
...neu hier

Themenstarter

Beiträge: 4
#7 Ok habe jetzt alles versucht zu befolgen wie angewiesen. Hier dir Logfiles:

Network Security Service


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Network Security Service" 05.02.2007 12:59:04

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3\0000]
"DeviceDesc"="Network Security Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]
"DisplayName"="Network Security Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY___NS_SERVICE_3\0000]
"DeviceDesc"="Network Security Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\__NS_Service_3]
"DisplayName"="Network Security Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3\0000]
"DeviceDesc"="Network Security Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]
"DisplayName"="Network Security Service"


atlhz32

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "atlhz32" 05.02.2007 13:02:54

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8464B42A-E958-F9B3-589D-652C9F6B2883}\LocalServer32]
@="C:\\WINDOWS\\system32\\atlhz32.exe"


{DFAA31C8-A356-4313-9D95-5EDAB46C5070}

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{DFAA31C8-A356-4313-9D95-5EDAB46C5070}" 05.02.2007 12:53:44

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\KeyPhrasesFileName]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter\CLSID]
@="{DFAA31C8-A356-4313-9D95-5EDAB46C5070}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter.1\CLSID]
@="{DFAA31C8-A356-4313-9D95-5EDAB46C5070}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html]
"CLSID"="{DFAA31C8-A356-4313-9D95-5EDAB46C5070}"


Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hegbctod

*******************

Script file located at: \??\C:\WINDOWS\system32\rghikhxl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\atlhz32.exe not found!
Deletion of file C:\WINDOWS\system32\atlhz32.exe failed!

Could not process line:
C:\WINDOWS\system32\atlhz32.exe
Status: 0xc0000034



File C:\WINDOWS\Downloaded Program Files\instafin.dll not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\instafin.dll failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\instafin.dll
Status: 0xc0000034



File C:\WINDOWS\system32\lmf32v.dll not found!
Deletion of file C:\WINDOWS\system32\lmf32v.dll failed!

Could not process line:
C:\WINDOWS\system32\lmf32v.dll
Status: 0xc0000034

File C:\WINDOWS\SYSTEM32\reboot.txt deleted successfully.
File C:\WINDOWS\SYSTEM32\ieurld.dll deleted successfully.
File C:\WINDOWS\SYSTEM32\iebdfex.dll deleted successfully.
File C:\WINDOWS\SYSTEM32\ierplc.dll deleted successfully.
File C:\WINDOWS\SYSTEM32\iedebug.dll deleted successfully.
File C:\WINDOWS\SYSTEM32\iepref32.dll deleted successfully.


File C:\WINDOWS\SYSTEM32\lmdv.bin not found!
Deletion of file C:\WINDOWS\SYSTEM32\lmdv.bin failed!

Could not process line:
C:\WINDOWS\SYSTEM32\lmdv.bin
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\PreUninstall.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\PreUninstall.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\PreUninstall.exe
Status: 0xc0000034

File C:\WINDOWS\SYSTEM32\uninst.exe deleted successfully.


File C:\WINDOWS\SYSTEM32\Uninst.log not found!
Deletion of file C:\WINDOWS\SYSTEM32\Uninst.log failed!

Could not process line:
C:\WINDOWS\SYSTEM32\Uninst.log
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\HyperLinker3.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\HyperLinker3.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\HyperLinker3.exe
Status: 0xc0000034

Folder C:\Programme\pokerstars deleted successfully.
Folder C:\Programme\quickbar deleted successfully.
Folder C:\Programme\mywebsearch deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-DCF7-F96DA086B434} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} failed!
Status: 0xc0000034



Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DFAA31C8-A356-4313-9D95-5EDAB46C5070} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DFAA31C8-A356-4313-9D95-5EDAB46C5070} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter.1 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HyperLinker not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HyperLinker failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\LM not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\LM failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



smitfraud.fix
- hat nicht funktioniert



SDFix

SDFix: Version 1.63

05.02.2007 - 20:07:00,15

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
drivemngr

Path:
\??\C:\WINDOWS\System32\drivemngr.sys

drivemngr Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\AdsGone\\adsgone.exe"="C:\\Programme\\AdsGone\\adsgone.exe:*;)isabled:popup Killer Spyware blocker powered by AdsGone"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*;)isabled:Firefox"
"C:\\UT2004Demo\\System\\UT2004.exe"="C:\\UT2004Demo\\System\\UT2004.exe:*:Enabled:UT2004"
"C:\\Programme\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe"="C:\\Programme\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe:*;)isabled:jk2mp"
"C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\UT2003Demo\\System\\UT2003.exe"="C:\\UT2003Demo\\System\\UT2003.exe:*;)isabled:UT2003"
"C:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"="C:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe:*:Enabled:ma3platform"
"C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*;)isabled:Windows Media Player"
"C:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe:*:Enabled:Internet-Telefon"
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"="C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe:*:Enabled:ZyXEL G-220 v2 Wireless Adapter Utility-Programm"
"C:\\WINDOWS\\SYSTEM32\\mshta.exe"="C:\\WINDOWS\\SYSTEM32\\mshta.exe:*:Enabled:Microsoft (R) HTML Application host"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108450.com
C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108451.com
C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108452.com
C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108453.com
C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108454.com
C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108455.com
C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP1539\A0108456.com
C:\WINDOWS\SYSTEM32\comctl32.dll
C:\WINDOWS\SYSTEM32\mfc42.dll
C:\WINDOWS\SYSTEM32\MFC42ENU.DLL
C:\WINDOWS\SYSTEM32\msvcp60.dll
C:\WINDOWS\SYSTEM32\msvcrt.dll
C:\WINDOWS\SYSTEM32\MSVCRT20.DLL
C:\WINDOWS\SYSTEM32\vbajet32.dll
C:\hiberfil.sys
C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp

Finished


so ich hoffe ich hab alles richtig gemacht. Sind die Trojanischen Pferde jetz weg?????

danke schonmal
Seitenanfang Seitenende
06.02.2007, 00:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

drivemngr

poste, was erscheint

------------------------------------------------------------------------

Avenger

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ZwSystemService

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8464B42A-E958-F9B3-589D-652C9F6B2883}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY___NS_SERVICE_3\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY___NS_SERVICE_3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\__NS_Service_3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\drivemngr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\drivemngr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\drivemngr
HKLM\SYSTEM\CurrentControlSet\Services\drivemngr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFAA31C8-A356-4313-9D95-5EDAB46C5070}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LinkMaker.LinkMakerFilter.1

Files to delete:
C:\WINDOWS\system32\atlhz32.exe
C:\Windows\System32\spoolmon.dll
C:\Windows\System32\spoolsrv.exe
C:\Windows\System32\tempfn.dll
C:\Windows\System32\drivemngr.sys
--------

poste hier das log vom avenger, was nach neustart erscheint


**
scanne und berichte, ob was gefunden wurde
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

**
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport

_____________________________________________________________________________
drivemngr.sys
Command: C:\Windows\System32\drivemngr.sys
Description: Added by the Troj/LdPinch-QB rootkit. This program, once loaded, hides other files related to this infection.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende