tr/crypt.fkm.gen

#1 immer wenn ich den internet explorer öffnen will kommt folgende warnung aus dem antivir:

c:/windows/naelq1.dll

trojaner: tr/crypt.fkm.gen


hijackthis: habe die datei (naelq1.dll) auch schon im hijackthis angezeigt bekommen und versucht mit hijackthis zu fixen, sie findet sich dort jedoch von zeit zu zeit wieder.

Logfile of HijackThis v1.99.1
Scan saved at 12:22:52, on 05.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\lexpps.exe
E:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe"
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\ipod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


combofix:


Dr.SwifT - 07-02-05 12:17:59,59 Service Pack 1
ComboFix 06.11.27W - Running from: "E:\"

((((((((((((((((((((((((((((((( Files Created from 2007-01-05 to 2007-02-05 ))))))))))))))))))))))))))))))))))


2007-02-04 13:33 <DIR> d-------- C:\CloneCD
2007-02-03 14:29 33,792 --a------ C:\WINDOWS\system32\drivers\cledx.sys
2007-02-03 14:29 16,896 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys
2007-01-31 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\dvdcss
2007-01-30 17:18 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-01-09 03:03 611,840 --a------ C:\WINDOWS\system32\vobhw.dll
2007-01-09 03:03 19,456 --a------ C:\WINDOWS\system32\asapi.dll
2007-01-09 03:03 153,088 --a------ C:\WINDOWS\system32\IWUninstall.exe
2007-01-09 03:03 11,264 --a------ C:\WINDOWS\system32\drivers\asapi.sys
2007-01-09 03:03 <DIR> d-------- C:\Programme\VOB
2007-01-09 03:01 <DIR> d-------- C:\Programme\Steinberg


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-04 13:32 -------- d-------- C:\Programme\Yahoo!
2007-02-02 17:32 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2007-01-30 18:48 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Hamachi
2007-01-08 01:02 -------- d-------- C:\Programme\PartyGaming
2007-01-01 17:44 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Propellerhead Software
2006-12-31 17:15 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Macromedia
2006-12-28 16:48 -------- d-------- C:\Programme\DAEMON Tools
2006-12-28 16:46 639224 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-12-14 18:51 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-14 18:51 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-10 23:11 233472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2006-12-10 23:11 225280 --a------ C:\WINDOWS\system32\ReWire.dll
2006-12-05 23:07 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Lavasoft
2006-11-14 22:44 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"CloneCDElbyCDFL"="\"C:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"CloneCDTray"="\"C:\\CloneCD\\CloneCDTray.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 07-02-05 12:21:37.00
C:\ComboFix.txt ... 07-02-05 12:21
C:\ComboFix2.txt ... 06-12-10 20:02
C:\ComboFix3.txt ... 06-12-10 13:47






datfindbat:


system32







Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\system32

03.02.2007 02:45 98.256 FNTCACHE.DAT
02.02.2007 22:10 2.206 wpa.dbl
10.12.2006 23:11 233.472 REX Shared Library.dll
10.12.2006 23:11 225.280 ReWire.dll
14.11.2006 22:44 43.520 CmdLineExt03.dll
29.10.2006 19:10 380.350 perfh009.dat
29.10.2006 19:10 52.764 perfc009.dat
29.10.2006 19:10 391.000 perfh007.dat
29.10.2006 19:10 63.580 perfc007.dat
29.10.2006 19:10 897.954 PerfStringBackup.INI

systemtemp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp

05.02.2007 12:32 978 TempICQMagicNumber_9317590017432.html
05.02.2007 12:14 512 ~DF798B.tmp
05.02.2007 12:14 16.384 ~DF797F.tmp
05.02.2007 12:14 512 ~DF8F9F.tmp
05.02.2007 12:14 16.384 ~DF8F2A.tmp
5 Datei(en) 34.770 Bytes
0 Verzeichnis(se), 1.448.198.144 Bytes frei


system


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS

05.02.2007 12:46 828 win.ini
05.02.2007 09:30 0 0.log
05.02.2007 09:30 2.048 bootstat.dat
05.02.2007 01:15 32.634 SchedLgU.Txt
04.02.2007 22:06 119.658 setupapi.log
04.02.2007 15:51 50 wiaservc.log
04.02.2007 15:51 216 wiadebug.log
03.02.2007 18:51 55.572 WindowsUpdate.log
02.02.2007 22:12 40 nero.INI
09.01.2007 21:03 184.906 setupact.log
06.01.2007 14:44 227 system.ini
28.12.2006 15:58 82.401 DirectX.log
28.12.2006 15:57 299 doom3.ini
16.12.2006 19:59 10.939 svcpack.log
13.12.2006 19:09 1.526.272 setupapi.log.0.old
10.12.2006 13:41 329.880 ntbtlog.txt



temp

(leer)


down

(leer)


c


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\

05.02.2007 12:54 0 sys.txt
05.02.2007 12:54 631 down.txt
05.02.2007 12:54 117 tmp.txt
05.02.2007 12:53 7.625 system.txt
05.02.2007 12:53 521 systemtemp.txt
05.02.2007 12:53 101.120 system32.txt
05.02.2007 12:21 9.317 ComboFix.txt
05.02.2007 09:30 804.835.328 hiberfil.sys
05.02.2007 09:30 805.306.368 pagefile.sys
06.01.2007 14:44 194 boot.ini
10.12.2006 20:02 9.750 ComboFix2.txt
10.12.2006 19:02 79 files.txt
10.12.2006 18:47 0 find.txt
10.12.2006 13:47 9.770 ComboFix3.txt
30.10.2006 21:13 1.122 rapport.txt
29.10.2006 19:53 1.232 c.txt
04.10.2006 09:23 668 datFind.bat

#2 1.
c:/windows/naelq1.dll - suchen + loeschen

2.
scanne mit option 1 und 2 und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 kann die datei nicht finden, obwohl ich unter ordneroptionen alle dateien anzeigen lasse

#4 scanne mit option 1 und 2 und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 habe leider nur einen scanreport das smitfrautfix das selbe log immer wieder überschreibt

habe nach der bereinigung nochmal gescannt und dazu nun der log



SmitFraudFix v2.139

Scan done at 0:24:52,32, 06.02.2007
Run from C:\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Dr.SwifT


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Dr.SwifT\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DRB263~1.SWI\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="\\\\?\\C:\\WINDOWS\\System32\\com7.fdn"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\System32\com7.fdn
c:\windows\naelq1.dll
C:\WINDOWS\naelq1.del

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


poste den report vom avenger, der nach neustart erscheint

»»
poste dieses log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 aus irgendeinem grund lässt sich avenger bei mir nicht starten, kann ich killbox verwenden?

#8 nein, denn das avengerscript greift auch in die registry ein (was mit killbox nicht geht)
wieso funktioniert der avenger nicht ?
beschreibe, was du gemacht hast.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Avenger wird von der Malware blockiert(Gromozon Variante). Zur Zeit sehe ich das recht haeufig. Ein Versuch waere der Prevx Cleaner wert:

http://www.prevx.com/gromozon.asp
__________
MfG Ralf
SEO-Spam Hunter

#10 * Speichere Gromozon Rootkit Removal Tool auf deinem Desktop.
http://virus-protect.org/artikel/spyware/gromozon.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 wenn ich den gromozon ordner öffne startet mein pc sofort neu!
wenn ich auf avenger.exe klicke folgt keine reaktion


fühlt sich wie ein enormer infekt an, soll ich formatieren oder glaubt ihr wir bekommen ihn weg?

#12 hier nochmal ein hijackthis log mit der datei:


Logfile of HijackThis v1.99.1
Scan saved at 19:23:27, on 06.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\soundman.exe
E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
E:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\hijackthis_199\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} - C:\WINDOWS\naelq1.dll (file missing)
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\ipod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

#13 1,
gehe in den abgesicherten modus und wende dort das proggie an.
http://www.tu-berlin.de/www/software/virus/savemode.shtml

2.
Start -Ausfuehren - cmd (reinschreiben)

dann kopiere in das schwarze DOS-Fenster)

Zitat

del \\.\C:\WINDOWS\System32\com7.fdn

Zitat

del \\\.\C:\WINDOWS\System32\com7.fdn

Zitat

del \\\\.\\C:\WINDOWS\System32\com7.fdn

berichte, ob eines von den drei Kommandos den Rootkit geloescht hat

Zitat

del C:\WINDOWS\naelq1.dll

Zitat

del C:\WINDOWS\naelq1.del

-------------------------------------------------------------------------

3.
boote wieder in den normalmodus

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files\system" >>files.txt
dir "C:\Programme\Common Files\Microsoft Shared" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

5.
http://virus-protect.org/artikel/tools/ADSSpy.exe
- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk - speichre als txt-Datei ab und poste es
__________
MfG Sabina

rund um die PC-Sicherheit

#14

bei den löschversuchen von naelq1 konnte die datei laut command box jeweils nicht gefunden werden


listen bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
07.06.2006 10:09 1.249 erma.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
09.10.2003 10:32 144 QTPlugin.inf
08.12.2003 13:58 3.759 swflash.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
6 Datei(en) 8.700 Bytes
0 Verzeichnis(se), 1.170.264.064 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\Programme\Common Files\system

12.11.2004 20:10 <DIR> .
12.11.2004 20:10 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.170.259.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\Programme\Common Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\Programme

06.02.2007 19:49 <DIR> .
06.02.2007 19:49 <DIR> ..
21.03.2005 11:21 <DIR> Adobe
02.02.2007 17:32 <DIR> AntiVir PersonalEdition Classic
12.11.2004 22:06 <DIR> Avance Sound Manager
12.11.2004 22:15 <DIR> AvRack
12.11.2004 20:09 <DIR> Common Files
12.11.2004 19:38 <DIR> ComPlus Applications
21.11.2004 21:14 <DIR> Creative
28.12.2006 16:48 <DIR> DAEMON Tools
07.11.2006 16:34 <DIR> Gemeinsame Dateien
19.11.2006 11:16 <DIR> Hamachi
13.04.2006 15:28 <DIR> Internet Explorer
12.11.2004 22:49 <DIR> Java
14.06.2005 18:01 <DIR> Media Player Classic
12.11.2004 19:38 <DIR> Messenger
12.11.2004 19:42 <DIR> microsoft frontpage
12.11.2004 19:40 <DIR> Movie Maker
12.11.2004 19:38 <DIR> MSN Gaming Zone
12.11.2004 20:11 <DIR> NetMeeting
12.11.2004 19:38 <DIR> Online Services
12.11.2004 19:40 <DIR> Online-Dienste
13.04.2006 15:28 <DIR> Outlook Express
08.01.2007 01:02 <DIR> PartyGaming
24.11.2006 22:34 <DIR> PartyGaming.Net
13.02.2005 16:56 <DIR> Symantec
13.02.2005 16:37 <DIR> SymNetDrv
03.12.2004 16:54 <DIR> Windows Media Components
13.11.2004 13:40 <DIR> Windows Media Player
12.11.2004 19:38 <DIR> Windows NT
12.11.2004 19:42 <DIR> xerox
04.02.2007 13:32 <DIR> Yahoo!
0 Datei(en) 0 Bytes
34 Verzeichnis(se), 1.170.259.968 Bytes frei


adsspy:

C:\WINDOWS\_default.pif : KAVICHS (68 bytes, MD5 3DDB9BE3AD9178F87E5DBE3F1EBF04FE)
C:\WINDOWS\7xunun.dat : KAVICHS (36 bytes, MD5 1F1542AA656ADE717F44196409637D65)
C:\WINDOWS\alcrmv.exe : KAVICHS (36 bytes, MD5 19FF41F8C3D9210103F860B4F7C430B8)
C:\WINDOWS\alcupd.exe : KAVICHS (36 bytes, MD5 817ED98F8730E86641297F0F18346601)
C:\WINDOWS\Angler.bmp : KAVICHS (36 bytes, MD5 E88846BB478C4A33BAA607CFD4812E22)
C:\WINDOWS\avrack.ini : KAVICHS (36 bytes, MD5 C0A1A868B789392CF76FD78200F09189)
C:\WINDOWS\Blaue Spitzen 16.bmp : KAVICHS (36 bytes, MD5 29633C62EA56069E16F28601E8175DD1)
C:\WINDOWS\bootstat.dat : KAVICHS (228 bytes, MD5 7D192E03D4147D1B7E0048E868DAE50F)
C:\WINDOWS\clock.avi : KAVICHS (36 bytes, MD5 D2180528213F54034FB019D22C13A52D)
C:\WINDOWS\COM+.log : KAVICHS (36 bytes, MD5 A64D2F0129616C7944CF2C888F1286CF)
C:\WINDOWS\comsetup.log : KAVICHS (36 bytes, MD5 4F83869823910EF72E2A9A7F6235A816)
C:\WINDOWS\dahotfix.log : KAVICHS (36 bytes, MD5 D2151005AA60D29BA517AA67E6027E89)
C:\WINDOWS\DirectX.log : KAVICHS (36 bytes, MD5 559CFBF46B36478D5759A12DB0B33387)
C:\WINDOWS\DtcInstall.log : KAVICHS (36 bytes, MD5 8E825AC419771772D2078A22B2731813)
C:\WINDOWS\explorer.exe : KAVICHS (132 bytes, MD5 CED1A1EC3EAF60352660CCCD88D6600A)
C:\WINDOWS\explorer.scf : KAVICHS (36 bytes, MD5 4CC08854F66544C5832672B297B74EC0)
C:\WINDOWS\Fächer.bmp : KAVICHS (36 bytes, MD5 578639B4D1D68C4D7236F87D72991D58)
C:\WINDOWS\FaxSetup.log : KAVICHS (36 bytes, MD5 D4C3FDD4290339904B42C3BE650A684B)
C:\WINDOWS\Feder.bmp : KAVICHS (36 bytes, MD5 C25D6E7E98DBF59F133E94790F3A7FBA)
C:\WINDOWS\Granit.bmp : KAVICHS (36 bytes, MD5 3E637CD5F07153AFC0376B3275C92F8D)
C:\WINDOWS\GunzLauncher.INI : KAVICHS (36 bytes, MD5 AA10C440981E55939FAB6E9A490D5D7D)
C:\WINDOWS\hh.exe : KAVICHS (68 bytes, MD5 5AA0EFD6FCBD70500A2847812F0006D8)
C:\WINDOWS\IEPatchUninstall.BAK : KAVICHS (36 bytes, MD5 3232B6CFA5E95A7B3E79DA97F295CB87)
C:\WINDOWS\ieuninst.exe : KAVICHS (36 bytes, MD5 7F30AD473075A197B96E9546944B29B5)
C:\WINDOWS\IFinst27.exe : KAVICHS (68 bytes, MD5 A400D6AE5FDAFB631962C23ACF42FEF0)
C:\WINDOWS\iis6.log : KAVICHS (36 bytes, MD5 EBA65EB1CA958768975DF492A7C38FF7)
C:\WINDOWS\imsins.BAK : KAVICHS (36 bytes, MD5 7AE5644736682128A6FBF04EC21EB16A)
C:\WINDOWS\IsUn0407.exe : KAVICHS (36 bytes, MD5 44F0FCD1071A9D88B4104097E126BC21)
C:\WINDOWS\iun6002.exe : KAVICHS (68 bytes, MD5 B9B79F7E16657765F88336BF8EB4D222)
C:\WINDOWS\jautoexp.dat : KAVICHS (36 bytes, MD5 0BEE3384554A0C2261C3517C180A3106)
C:\WINDOWS\Kaffeetasse.bmp : KAVICHS (36 bytes, MD5 ED00CB86F7D08BD7917D11A757EE6F18)
C:\WINDOWS\KB810217.log : KAVICHS (36 bytes, MD5 B56165EACB5E13CE5357AB668E96433A)
C:\WINDOWS\KB817778.log : KAVICHS (36 bytes, MD5 FF71CB0104DE4C65127B9D7A019FFCBF)
C:\WINDOWS\KB820291.log : KAVICHS (36 bytes, MD5 76920FE2CBFF79356889EDFC52D5C2B5)
C:\WINDOWS\KB821253.log : KAVICHS (36 bytes, MD5 71DE012C0A73DE36526F7AFB6AAD52EE)
C:\WINDOWS\KB822603.log : KAVICHS (36 bytes, MD5 39AB857EB967A97F1D31B0CCE37DE52A)
C:\WINDOWS\KB823182.log : KAVICHS (36 bytes, MD5 3ECA393F7B9FC9F752D4B1EE72170FD3)
C:\WINDOWS\KB823980.log : KAVICHS (36 bytes, MD5 88BACC602A55C175DCDC60DC995C90A0)
C:\WINDOWS\KB824105.log : KAVICHS (36 bytes, MD5 7A210CA96B4B85356EF0BF7DC2008B58)
C:\WINDOWS\KB824141.log : KAVICHS (36 bytes, MD5 47C5B37D5E7CA52EB8AFDDF0B716E62D)
C:\WINDOWS\KB825119.log : KAVICHS (36 bytes, MD5 DC15996D60B9CE0F29BF4641301369CB)
C:\WINDOWS\KB826939.log : KAVICHS (36 bytes, MD5 AD7DF7F78E1809112032DFABC9853D68)
C:\WINDOWS\KB826942.log : KAVICHS (36 bytes, MD5 E3B25324618A142D037B76CDD92DC646)
C:\WINDOWS\KB828028.log : KAVICHS (36 bytes, MD5 577C990B990834DAB3F070AA64CC4F6C)
C:\WINDOWS\KB828035.log : KAVICHS (36 bytes, MD5 AC50B5A10421D69F49D9D84726D72293)
C:\WINDOWS\KB828741.log : KAVICHS (36 bytes, MD5 E60CFD8751C1F966A6D90369F299F826)
C:\WINDOWS\KB829558.log : KAVICHS (36 bytes, MD5 4C1707B22E14F5E941B6A419FC0B1435)
C:\WINDOWS\KB835732.log : KAVICHS (36 bytes, MD5 B97C8DBC5BB409E683B69A30BA617AFD)
C:\WINDOWS\KB837001.log : KAVICHS (36 bytes, MD5 DAA70F10C2460E75DF3A0244DB732E46)
C:\WINDOWS\LgxSetup.exe : KAVICHS (68 bytes, MD5 6D8E4B399B2C2CC408036957E8BE4E64)
C:\WINDOWS\mozver.dat : KAVICHS (36 bytes, MD5 FE4B2A481A85C837B83D9B6A078D5FF2)
C:\WINDOWS\msdfmap.ini : KAVICHS (36 bytes, MD5 99521CA2C2FDD499FD5967D39B1047AD)
C:\WINDOWS\msgsocm.log : KAVICHS (36 bytes, MD5 772799F0B2F67A299EDBB0D4B0C22F4A)
C:\WINDOWS\msmqinst.log : KAVICHS (36 bytes, MD5 9B6A933A84C9B1B9C1DCAA312873AF24)
C:\WINDOWS\nero.INI : KAVICHS (228 bytes, MD5 3C8EF34CCB2FAEDA8976A4D71CC6AADE)
C:\WINDOWS\netfxocm.log : KAVICHS (36 bytes, MD5 BE83DD6A1DED92F32FFEFDDA8E032E27)
C:\WINDOWS\NOTEPAD.EXE : KAVICHS (68 bytes, MD5 CCD692DB48B6A9E847CF7A93C2C833D9)
C:\WINDOWS\ntdtcsetup.log : KAVICHS (36 bytes, MD5 F3F5247B1C04E4D74D9C94C1097158A8)
C:\WINDOWS\ocgen.log : KAVICHS (36 bytes, MD5 19C39AE105FDF1A931606B832D2FA940)
C:\WINDOWS\ocmsn.log : KAVICHS (36 bytes, MD5 93EBC13679D18954076C6E30070938A0)
C:\WINDOWS\ODBCINST.INI : KAVICHS (36 bytes, MD5 67DABFFEC8DAF0CAE72277B9B6533687)
C:\WINDOWS\OEWABLog.txt : KAVICHS (36 bytes, MD5 09691FB51B8B49C23EF1C3C486535902)
C:\WINDOWS\Präriewind.bmp : KAVICHS (36 bytes, MD5 71B8BC372706947181D18AA93FB23527)
C:\WINDOWS\Q322011.log : KAVICHS (36 bytes, MD5 BFE71A04D6B79DF2391CED4FA72FD116)
C:\WINDOWS\Q327979.log : KAVICHS (36 bytes, MD5 EC7D8E359813C529B67E7691E61CB5D4)
C:\WINDOWS\q329256.log : KAVICHS (36 bytes, MD5 99580981A980E2BF3864A1A494F0FEF9)
C:\WINDOWS\Q329604.log : KAVICHS (36 bytes, MD5 2DE581F40F144F2F52AD22B7EA6273A0)
C:\WINDOWS\q329623.log : KAVICHS (36 bytes, MD5 EA8DAA5F6D34FACD42807752A80BB2E1)
C:\WINDOWS\Q329692.log : KAVICHS (36 bytes, MD5 A8033EF97F4C0007C633AB4FB99A9F53)
C:\WINDOWS\Q331320.log : KAVICHS (36 bytes, MD5 D093A675A824E6E0C1A45839520D3E46)
C:\WINDOWS\Q331958.log : KAVICHS (36 bytes, MD5 69C6969EEF0B1B558F952E1F788EBA32)
C:\WINDOWS\Q810032.log : KAVICHS (36 bytes, MD5 59BF85A7D983A96E359AB9E39795E2B2)
C:\WINDOWS\Q810272.log : KAVICHS (36 bytes, MD5 62CB7ECDCF98429458DABA676877FD7B)
C:\WINDOWS\Q811114.log : KAVICHS (36 bytes, MD5 E9D4CFA0E470B0629700EF23CB7460AA)
C:\WINDOWS\q812415.log : KAVICHS (36 bytes, MD5 6F4F5B51406957A92543724CC9FE8733)
C:\WINDOWS\Q814995.log : KAVICHS (36 bytes, MD5 3A15C2B567CC856A05AE516AB97BE669)
C:\WINDOWS\Q816982.log : KAVICHS (36 bytes, MD5 2118C8A27D9674F1D7F2791A645837D8)
C:\WINDOWS\Q818043.log : KAVICHS (36 bytes, MD5 34131D8F5D59141E3ACF66E8794C7954)
C:\WINDOWS\Q819696.log : KAVICHS (36 bytes, MD5 FB346F0344598B8DD971B6BF90A9CF49)
C:\WINDOWS\Q820369.exe : KAVICHS (36 bytes, MD5 5C58683B6CC5C7D31DDFD30DD6CB16C8)
C:\WINDOWS\Q828026.log : KAVICHS (36 bytes, MD5 779F944289D717C8F881431C1980666F)
C:\WINDOWS\regedit.exe : KAVICHS (68 bytes, MD5 EDD68D2F4882C6CD9D773E4E52AA10B3)
C:\WINDOWS\REGLOCS.OLD : KAVICHS (36 bytes, MD5 82AA3747FCB787A5B4BDCF124949B050)
C:\WINDOWS\regopt.log : KAVICHS (36 bytes, MD5 087D30C2441679AB861D04E8ADF46534)
C:\WINDOWS\Rhododendron.bmp : KAVICHS (36 bytes, MD5 33AE23E82AAD24AD8DC38163EAA65C43)
C:\WINDOWS\Santa Fe-Stuck.bmp : KAVICHS (36 bytes, MD5 31B77DE9ED8799D93345C7690B84E1CD)
C:\WINDOWS\SchedLgU.Txt : KAVICHS (100 bytes, MD5 29A329572D387F9036A1FC69963E512A)
C:\WINDOWS\scunin.dat : KAVICHS (228 bytes, MD5 22C3C21FA7C89D9A105932A5353C006D)
C:\WINDOWS\ScUnin.exe : KAVICHS (132 bytes, MD5 587FF709D7CDCD09FA32307B0A94F13F)
C:\WINDOWS\ScUnin.pif : KAVICHS (68 bytes, MD5 0C8E7D1F7133163C96BD563DB1363101)
C:\WINDOWS\Seifenblase.bmp : KAVICHS (36 bytes, MD5 17A6BA4FD6A5E391907A23E5BBC4632D)
C:\WINDOWS\sessmgr.setup.log : KAVICHS (36 bytes, MD5 D6F87416E629171A25548BE97450B104)
C:\WINDOWS\setdebug.exe : KAVICHS (36 bytes, MD5 2025E25FBCF6EE3AFBCEB422183CDACF)
C:\WINDOWS\setupact.log : KAVICHS (36 bytes, MD5 9B5BB7E183EDABC3644B8BB99229A64C)
C:\WINDOWS\setupapi.log.0.old : KAVICHS (68 bytes, MD5 46236D175E75DD30654E8CB1ABD04D1C)
C:\WINDOWS\setuplog.txt : KAVICHS (36 bytes, MD5 9D71CCD45C3F86FF2FBCC9603B6CA543)
C:\WINDOWS\soundman.exe : KAVICHS (68 bytes, MD5 C06C5479D9E39AC099EF580FDF5DE165)
C:\WINDOWS\ST4UNST.000 : KAVICHS (36 bytes, MD5 E79E643A118592D78DDA3D88CFAD4ECF)
C:\WINDOWS\ST4UNST.EXE : KAVICHS (36 bytes, MD5 BB8673B897EF94BC3F021C86AF4E0001)
C:\WINDOWS\SYMEVENT.LOG : KAVICHS (36 bytes, MD5 9C9B1B9720ECADB5F85FB23E15FA1EA9)
C:\WINDOWS\tabletoc.log : KAVICHS (36 bytes, MD5 6A63D4049D97F5CF4573D50C7A75C344)
C:\WINDOWS\TASKMAN.EXE : KAVICHS (36 bytes, MD5 034987BFD5D9CDEBF8F48793489AF363)
C:\WINDOWS\tsoc.log : KAVICHS (36 bytes, MD5 91171F1B6C25B72D0AA876DC9825D961)
C:\WINDOWS\twain.dll : KAVICHS (36 bytes, MD5 A6DFBEB383C89FD408D2AF43A405B271)
C:\WINDOWS\twain_32.dll : KAVICHS (36 bytes, MD5 3DBB0D31E491287B001A35B9D4C0EE51)
C:\WINDOWS\twunk_16.exe : KAVICHS (36 bytes, MD5 FEB30E7F6B56D266C958757CE3D327DD)
C:\WINDOWS\twunk_32.exe : KAVICHS (36 bytes, MD5 A828BE9995369EC3C4D6ED13BD85DA6C)
C:\WINDOWS\unin0407.exe : KAVICHS (36 bytes, MD5 0B55DFA031332F22C064486ED2A1EA1A)
C:\WINDOWS\vb.ini : KAVICHS (36 bytes, MD5 59B2A9D33C725CFC0728069728DCCE42)
C:\WINDOWS\vbaddin.ini : KAVICHS (36 bytes, MD5 0E965E687FFD1B36E2E7FE3DD4DE6FEC)
C:\WINDOWS\vminst.log : KAVICHS (36 bytes, MD5 62D5652A266BE9D09BDB2045CAEB03B6)
C:\WINDOWS\vmmreg32.dll : KAVICHS (36 bytes, MD5 47253FE80455B5B29501ED431E937B52)
C:\WINDOWS\wc98pp.dll : KAVICHS (36 bytes, MD5 827422CD1C6B9ACB8F3BAC37BC1948C6)
C:\WINDOWS\wiaservc.log : KAVICHS (228 bytes, MD5 6474506A550DA5F651ADBB07A0152EB4)
C:\WINDOWS\winamp.ini : KAVICHS (228 bytes, MD5 30F6F7F0EA0B655616B08C5762DD4A14)
C:\WINDOWS\Windows Update.log : KAVICHS (100 bytes, MD5 C8DACD08230EA4C30605A149823B3C85)
C:\WINDOWS\winhelp.exe : KAVICHS (36 bytes, MD5 6C8992E0DCB359B8FD23613B5F310752)
C:\WINDOWS\winhlp32.exe : KAVICHS (68 bytes, MD5 05443AA5CB3016B38A792F852E57D246)
C:\WINDOWS\winnt.bmp : KAVICHS (36 bytes, MD5 A2488CF3C0CD2D6A6AB8C1C43963CF8E)
C:\WINDOWS\winnt256.bmp : KAVICHS (36 bytes, MD5 F5A2789F1781D816C7467C463034A6DA)
C:\WINDOWS\wmprfDEU.prx : KAVICHS (36 bytes, MD5 24D5B959DB36EBE9DF7A6C86C33A7E71)
C:\WINDOWS\WMSysPr9.prx : KAVICHS (36 bytes, MD5 341132197F6EFF39E45991CA88BA93B6)
C:\WINDOWS\WMSysPrx.prx : KAVICHS (36 bytes, MD5 11A211940BFF401D2708CE4A1F72F52F)
C:\WINDOWS\xpsp1hfm.log : KAVICHS (36 bytes, MD5 5B57FFBFA05D50F08E0B1B4E453E64E7)
C:\WINDOWS\Zapotek.bmp : KAVICHS (36 bytes, MD5 11076E860E1E9FB5483BECB8F130EEB5)

#15 swifffer

0.
öffne das HijackThis
Download Hijackthis.zip
Genaue Anweisungen HijackThis

*Do a system scan only
*Config
*Misc Tools
*öffne(open) Hosts file Manager
*Klick "Open In Notepad" button

poste, was du findest

-----------------------------------------------------------------------------

1.
ich nehme an, du hast Gromozon Rootkit Removal Tool im abgesicherten modus zum laufen bekommen ???

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

naelq1

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

com7.fdn

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

___________________________

3.
scanne und poste den report
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit