Felher beim Laden von USB 496.dat, das angegebene Modul wurde nicht gefunden

#1 Hallo,

ich habe das Problem, dass o.g. Fehlermeldung beim Systemstart erscheint, daher bitte ich euch um Hilfe.

Ich habe zuerst einmal im abgesicherten Modus, bei deaktivierter Systemwiederherstellung Antivir drüber laufen lassen. Es findet den Trojaner TR/SpyAgent.PV.1, löscht ihn auch, aber nach dem Neustart war die Fehlermeldung wieder da.

Habe dann hier im Forum gelesen, dass es mit Spybot Search & Destroy klappen soll. Hab ich auch gemacht, jetzt hat sich die Fehlermeldung bei Systemstart verändert, jetzt heißt es nicht mehr "das Modul wurde nicht gefunden", sondern " Folgender Eintrag fehlt: Execute".
Zudem hat Spybot festegestellt, dass "ein wichtiger Registry Eintrag geändert wurde. Kategorie: "System Startup Global Entry"
Änderung: "Wert hinzugefügt"
Eintrag: "sre Postpone

Zone Alarm findet es auch, mit dem Namen "180search Assistant" und gibt den Pfad an:

Registry key:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}\0000

Wenn ich es mit Zone Alarm lösche, ist es anscheinend weg, erst beim Neustart findet Zone Alarm das gleiche wieder.


Habe auch schon mehrfach gelesen, dass zur Diagnose ein Logfile von HijackThis notwendig ist, daher hab ich das direkt mal angehängt.

Es wäre super wenn mir jemand helfen könnte, habe bisher (zum Glück) noch keine Erfahrung mit sowas.


Logfile of HijackThis v1.99.1
Scan saved at 08:42:49, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Glass2k\Glass2k.exe
C:\Programme\LClock\LClock.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
D:\Eigene Dateien ***\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.peterzahlt.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Glass2k] C:\Programme\Glass2k\Glass2k.exe
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F02156D-FA84-4949-A1DB-6D55C8B8F814}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F02156D-FA84-4949-A1DB-6D55C8B8F814}: NameServer = 194.97.173.125 194.97.173.124
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2 baghuira

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Advanced Message Server

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

usb496

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------
2.
Start > Ausfuehren --> reinschreiben --> cmd

dir /s /a "c:\usb496*.*" > c:\find.txt & start notepad c:\find.txt

und ok. kopiere rein und poste alles, was im Texteditor erscheint

--------
3.
poste diess log
http://virus-protect.org/artikel/tools/combofix.html

--------

4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi.
Erstmal vielen Dank im Voraus für die Hilfe

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Advanced Message Server

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
in: "Enter search strings" (reinschreiben oder reinkopieren)


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 06.02.2007 10:18:18 for strings:
; 'advanced message server'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Advanced Message Server"="rundll32.exe usb496.dat,Execute"

; End Of The Log...


----------------------------------------------------------


usb496

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 06.02.2007 10:19:38 for strings:
; 'usb496'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Advanced Message Server"="rundll32.exe usb496.dat,Execute"

[HKEY_CURRENT_USER\Software\ALCATech\BPM\RemoteUpdate]
"Firmware"="usb496.dat"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="usb496"

; End Of The Log...


-------------------------------------------------------------------

2.
Start > Ausfuehren --> reinschreiben --> cmd

dir /s /a "c:\usb496*.*" > c:\find.txt & start notepad c:\find.txt

und ok. kopiere rein und poste alles, was im Texteditor erscheint

Da gabs Probleme, nach dem Befehl stand: Datei nicht gefunden

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F421-FE2E

------------------------------------

3.
poste diess log
http://virus-protect.org/artikel/tools/combofix.html


"****" - 07-02-06 10:27:55 Service Pack 2
ComboFix 07.02.04 - Running from: "D:\Eigene Dateien ****\Programme\Trojaner Bek„mpfung"

((((((((((((((((((((((((((((((( Files Created from 2007-01-06 to 2007-02-06 ))))))))))))))))))))))))))))))))))


2007-02-01 08:47 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2007-02-01 08:46 <DIR> d-------- C:\Programme\MSBuild
2007-02-01 08:46 <DIR> d-------- C:\Programme\Microsoft Works
2007-02-01 08:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Microsoft Help
2007-02-01 08:37 <DIR> dr-h----- C:\MSOCache
2007-01-11 09:38 <DIR> d-------- C:\WINDOWS\ie7updates
2007-01-06 23:28 <DIR> d-------- C:\Programme\CCleaner


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[COLOR=RED]Rootkit driver pe386 is present. A rootkit scan is required[/COLOR]

2007-02-06 10:12 -------- d-------- C:\Programme\mozilla firefox
2007-02-02 18:59 -------- d-------- C:\DOKUME~1\Jesko\Anwendungsdaten\image zone express
2007-02-02 18:26 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-01 09:09 -------- d---s---- C:\DOKUME~1\****\Anwendungsdaten\microsoft
2007-02-01 08:36 -------- d-------- C:\Programme\emule
2007-01-23 20:35 -------- d-------- C:\Programme\java
2007-01-23 20:18 -------- d-------- C:\Programme\topsim management ii
2007-01-06 23:32 -------- d-------- C:\Programme\winamp
2006-12-10 21:34 -------- d-------- C:\Programme\emule.de 0.46c v17
2006-12-09 16:14 40 ---hs---- C:\DOKUME~1\****\Anwendungsdaten\.zreglib
2006-12-06 17:03 -------- d-------- C:\Programme\slysoft
2006-11-17 10:55 219648 --a------ C:\WINDOWS\system32\uxtheme.dll
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SoundMan"="SOUNDMAN.EXE"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"Realtime Audio Engine"="mmrtkrnl.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"Glass2k"="C:\\Programme\\Glass2k\\Glass2k.exe"
"LClock"="C:\\Programme\\LClock\\LClock.exe"
"Advanced Message Server"="rundll32.exe usb496.dat,Execute"
"GrooveMonitor"="\"C:\\Programme\\Microsoft Office\\Office12\\GrooveMonitor.exe\""


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="Groove GFS Stub Execution Hook"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"SystemManager"="C:\\WINDOWS\\system32\\msapp32.exe"

C:\WINDOWS\system32\msapp32.exe Entdeckt: Spyware.Dvd.Settec.DLL
http://www.heise.de/security/news/meldung/71115


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{862ab068-a3fb-11db-a211-001731b45a80}]
Shell\AutoRun\command I:\Launcher.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\User_Feed_Synchronization-{F26251DE-38B1-4D35-BD2B-FFF152796F05}.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-06 10:29:50


-----------------------------------------------


4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html ??? Hier hab ich die Anleitung nicht verstanden. Es werden wenn ichs mache wie beschrieben nur solche Textdateien erstellt:

Datentr„ger in Laufwerk D: ist Volume
Volumeseriennummer: 8667-0539

Verzeichnis von D:\

31.10.2005 16:56 700.416 StubInstaller.exe
1 Datei(en) 700.416 Bytes
0 Verzeichnis(se), 45.564.567.552 Bytes frei

-----------------------------------------------------

Soll ich die unter C:\ abspeichern und die originalen ersetzen?

Ach ja, habe vor deiner Antwort einfach mal nach der Datei USB496 mit Windows gesucht, gefunden wurde eine Movie Datei, die ich dann gelöscht habe.
Beim Neustart kam dann aber wieder die Meldung "....Modul nicht gefunden", nicht wie vorher " Executive Eintrag fehlt".

Gruß, baghuira

#4 1.
datfindbat natuerlich auf c:\ anwenden .....

2.
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 1.Log Verzeichnis von C:\WINDOWS\system32\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F421-FE2E

Verzeichnis von C:\WINDOWS\system32

06.02.2007 10:05 54.107 vsconfig.xml
06.02.2007 10:05 13.646 wpa.dbl
06.02.2007 10:04 17.555 nvapps.xml
01.02.2007 09:08 49.166 perfc007.dat
01.02.2007 09:08 40.836 perfc009.dat
01.02.2007 09:08 314.508 perfh009.dat
01.02.2007 09:08 320.104 perfh007.dat
01.02.2007 09:08 724.842 PerfStringBackup.INI
01.02.2007 08:56 264.616 FNTCACHE.DAT
23.01.2007 20:35 9.132 jupdate-1.5.0_10-b03.log
03.01.2007 00:19 10.980.776 MRT.exe
17.11.2006 10:55 219.648 uxtheme.dll
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
08.11.2006 06:06 679.424 inetcomm.dll
06.11.2006 18:00 16.832 amcompat.tlb
06.11.2006 18:00 23.392 nscompat.tlb
04.11.2006 14:14 1.245.696 msxml4.dll
04.11.2006 13:40 81.920 ElbyCDIO.dll
04.11.2006 08:40 8.891 jupdate-1.5.0_09-b03.log
03.11.2006 21:40 7.006 jupdate-1.5.0_06-b05.log


2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F421-FE2E

Verzeichnis von C:\DOKUME~1\Jesko\LOKALE~1\Temp

06.02.2007 12:18 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11946.html
06.02.2007 12:16 0 fla3E.tmp
06.02.2007 11:53 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20382.html
06.02.2007 11:53 16.384 ~DFCBF5.tmp
06.02.2007 11:53 16.384 ~DFC5F4.tmp
06.02.2007 11:53 512 ~DFC602.tmp
06.02.2007 10:04 16.384 ~DF7DB8.tmp
06.02.2007 10:04 16.384 ~DFCE6F.tmp
06.02.2007 10:03 342.157 hpodvd09.log
9 Datei(en) 410.166 Bytes
0 Verzeichnis(se), 51.884.920.832 Bytes frei


3.Log Verzeichnis von C:\WINDOWS\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F421-FE2E

Verzeichnis von C:\WINDOWS

06.02.2007 10:10 55.946 WindowsUpdate.log
06.02.2007 10:04 0 0.log
06.02.2007 10:04 159 wiadebug.log
06.02.2007 10:04 50 wiaservc.log
06.02.2007 10:04 2.048 bootstat.dat
06.02.2007 10:03 2.776 SchedLgU.Txt
04.02.2007 11:29 0 Sti_Trace.log
01.02.2007 08:52 713 win.ini
08.01.2007 18:26 116 NeroDigital.ini
06.11.2006 22:07 11 amunres.lsl
04.11.2006 11:33 151 PhotoSnapViewer.INI
03.11.2006 21:40 1.273 mozver.dat
02.11.2006 08:24 0 nsreg.dat


4.Log Verzeichnis von C:\WINDOWS\temp\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F421-FE2E

Verzeichnis von C:\WINDOWS\Temp

06.02.2007 11:20 255 WGAErrLog.txt
06.02.2007 10:04 256 ZLT02f1c.TMP
06.02.2007 10:04 256 ZLT02f19.TMP
3 Datei(en) 767 Bytes
0 Verzeichnis(se), 51.884.920.832 Bytes frei

5.Log Verzeichnis von C:\WINDOWS\Downloaded Program Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F421-FE2E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.09.2006 16:58 65 desktop.ini
22.06.2006 10:41 5.032 swflash.inf
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 51.884.920.832 Bytes frei
es gab hier keine aktuelleren, deshalb hier älter als 3 Monate


6.Log Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F421-FE2E

Verzeichnis von C:\

06.02.2007 12:34 0 sys.txt
06.02.2007 12:34 345 down.txt
06.02.2007 12:33 378 tmp.txt
06.02.2007 12:33 4.629 system.txt
06.02.2007 12:33 781 systemtemp.txt
06.02.2007 12:33 104.291 system32.txt
06.02.2007 10:29 5.648 ComboFix.txt
06.02.2007 10:23 79 find.txt
06.02.2007 10:04 1.610.612.736 pagefile.sys
06.01.2007 14:48 83 FilterLog.log
23.09.2006 17:27 171 itouch.log
23.09.2006 17:27 0 itouch_crash_info.txt
23.09.2006 16:59 0 CONFIG.SYS
23.09.2006 16:59 0 MSDOS.SYS
23.09.2006 16:59 0 IO.SYS
23.09.2006 16:59 0 AUTOEXEC.BAT
23.09.2006 16:53 211 boot.ini
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
20 Datei(en) 1.611.033.052 Bytes
0 Verzeichnis(se), 51.884.916.736 Bytes frei



2.
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

Er hat einen Fehler gemeldet:

GMER 1.0.12.12027 - http://www.gmer.net
Rootkit scan 2007-02-06 12:49:33
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT d347bus.sys ZwEnumerateKey
SSDT d347bus.sys ZwEnumerateValueKey

Code 807AE028 IoWriteTransferCount

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 86376540
Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F3EB52A0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F3EB52A0] vsdatant.sys

---- Modules - GMER 1.0.12 ----

Module _________ F72C3000

---- Processes - GMER 1.0.12 ----

Process C:\DOKUME~1\Jesko\LOKALE~1\Temp\Rar$EX00.125\gmer.exe (*** hidden *** ) 1792
Process C:\WINDOWS\system32\msapp32.exe (*** hidden *** ) [1792] 85A26790

---- EOF - GMER 1.0.12 ----


Gruß, baghuira

#6 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msapp32.exe

C:\WINDOWS\system32\usb496.dat

poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Complete scanning result of "msapp32.exe", received in VirusTotal at 02.06.2007, 14:09:28 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.06.2007 no virus found
Authentium 4.93.8 02.06.2007 no virus found
Avast 4.7.936.0 02.06.2007 Win32:Trojan-gen. {VC}
AVG 386 02.06.2007 no virus found
BitDefender 7.2 02.05.2007 Spyware.Dvd.Settec.DLL
CAT-QuickHeal 9.00 02.05.2007 no virus found
ClamAV devel-20060426 02.06.2007 no virus found
DrWeb 4.33 02.06.2007 no virus found
eSafe 7.0.14.0 02.06.2007 no virus found
eTrust-InoculateIT 30.4.3372 02.06.2007 no virus found
eTrust-Vet 30.4.3372 02.06.2007 no virus found
Ewido 4.0 02.05.2007 Rootkit.Settec
Fortinet 2.85.0.0 02.06.2007 Misc/Settec
F-Prot 4.2.1.29 02.05.2007 no virus found
Ikarus T3.1.0.31 02.06.2007 no virus found
Kaspersky 4.0.2.24 02.06.2007 no virus found
McAfee 4956 02.05.2007 potentially unwanted program Settec
Microsoft 1.2101 02.06.2007 Settec (Thread-c)
NOD32v2 2040 02.06.2007 Win32/Rootkit.Settec
Norman 5.80.02 02.05.2007 no virus found
Panda 9.0.0.4 02.06.2007 no virus found
Prevx1 V2 02.06.2007 no virus found
Sophos 4.13.0 02.05.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 Settec
Symantec 10 02.06.2007 SecurityRisk.Settec
TheHacker 6.1.6.052 02.05.2007 no virus found
UNA 1.83 02.06.2007 no virus found
VBA32 3.11.2 02.06.2007 no virus found
VirusBuster 4.3.19:9 02.05.2007 Rootkit.Inject.A

Aditional Information
File size: 827392 bytes
MD5: 4e7797f813c10cb172b3f219638c8114
SHA1: 4b7e5d37875d48d1cf5a82ad1ba77fd93e8bc971

--------------------------------------------------------------



Complete scanning result of "usb496.dat", received in VirusTotal at 02.06.2007, 14:12:39 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.06.2007 no virus found
Authentium 4.93.8 02.06.2007 no virus found
Avast 4.7.936.0 02.06.2007 no virus found
AVG 386 02.06.2007 no virus found
BitDefender 7.2 02.05.2007 no virus found
CAT-QuickHeal 9.00 02.05.2007 no virus found
ClamAV devel-20060426 02.06.2007 no virus found
DrWeb 4.33 02.06.2007 no virus found
eSafe 7.0.14.0 02.06.2007 no virus found
eTrust-InoculateIT 30.4.3372 02.06.2007 no virus found
eTrust-Vet 30.4.3372 02.06.2007 no virus found
Ewido 4.0 02.05.2007 no virus found
Fortinet 2.85.0.0 02.06.2007 no virus found
F-Prot 4.2.1.29 02.05.2007 no virus found
Ikarus T3.1.0.31 02.06.2007 no virus found
Kaspersky 4.0.2.24 02.06.2007 no virus found
McAfee 4956 02.05.2007 no virus found
Microsoft 1.2101 02.06.2007 no virus found
NOD32v2 2040 02.06.2007 no virus found
Norman 5.80.02 02.05.2007 no virus found
Panda 9.0.0.4 02.06.2007 no virus found
Prevx1 V2 02.06.2007 no virus found
Sophos 4.13.0 02.05.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.06.2007 no virus found
TheHacker 6.1.6.052 02.05.2007 no virus found
UNA 1.83 02.06.2007 no virus found
VBA32 3.11.2 02.06.2007 no virus found
VirusBuster 4.3.19:9 02.05.2007 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

#8 baghuira

1.
öffne das HijackThis -- Button "scan" -- vor diesen Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute

PC neustarten

2.
scanne und poste hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hier der scan report. Die Fehlermeldung und der Trojaner waren nach dem Neustart wieder da. :-( Hab ihn jetzt mal wieder mit Zone Alarm gelöscht. Das Löschen klappt wohl wirklich, er erneuert sich nur jedesmal beim Hochladen.

Spybot zeigt auch immer an, dass ein Registry Eintrag geändert wurde, (wie vorher schon mal beschrieben)

Ist der Trojaner weg wenn ich meine Partition C:\ formatiere? Ich habe alle Treiber und so da, ist zwar ein bisschen Aufwand, aber bevor ich dich hier noch 3 Tage lang damit belästige, wäre das wohl weniger Arbeit.

Nochmal vielen Dank für die Geduld bis hier.


Hier der Bericht von AVG (vor dem Neustart), habe dann AVG nach dem Neustart nochmal drüber laufen lassen und es wurde nichts gefunden, da ich den Trojaner vorher schon mit Zone Alarm gelöscht hatte.


---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 18:42:28 06.02.2007

+ Scan-Ergebnis:



C:\WINDOWS\system32\__delete_on_reboot__h_a_d_l_._d_l_l_ -> Rootkit.Settec : Keine Aktion durchgeführt.
C:\WINDOWS\system32\__delete_on_reboot__m_s_a_p_p_3_2_._e_x_e_ -> Rootkit.Settec : Keine Aktion durchgeführt.
C:\WINDOWS\system32\a3p.exe -> Rootkit.Settec : Keine Aktion durchgeführt.
[1252] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1684] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1828] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1844] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1852] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1860] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1876] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1888] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1904] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1916] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1924] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[1960] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[204] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[232] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[288] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[336] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[344] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[3468] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[424] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
[456] C:\WINDOWS\system32\hadl.dll -> Rootkit.Settec : Keine Aktion durchgeführt.
:mozilla.120:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.121:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.119:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
:mozilla.74:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.75:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Adnet : Keine Aktion durchgeführt.
:mozilla.90:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.91:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.92:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.93:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.132:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
:mozilla.18:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.76:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Linda\Cookies\linda@www.etracker[2].txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.122:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Linda\Cookies\linda@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt.
:mozilla.100:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.101:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.102:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.103:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.104:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.105:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.106:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.97:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.98:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.99:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Linda\Cookies\linda@as1.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.11:C:\Dokumente und Einstellungen\Jesko\Anwendungsdaten\Mozilla\Firefox\Profiles\wfr5s1gv.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.12:C:\Dokumente und Einstellungen\Jesko\Anwendungsdaten\Mozilla\Firefox\Profiles\wfr5s1gv.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.13:C:\Dokumente und Einstellungen\Jesko\Anwendungsdaten\Mozilla\Firefox\Profiles\wfr5s1gv.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.12:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Linda\Cookies\linda@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.13:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.14:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.15:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.16:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Linda\Cookies\linda@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.6:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
:mozilla.55:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.56:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.57:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.58:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.59:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.60:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.17:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.86:C:\Dokumente und Einstellungen\Linda\Anwendungsdaten\Mozilla\Firefox\Profiles\os5v1td5.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.


::Berichtende

Gruß, baghuira

#10 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script
....

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Advanced Message Server

Files to delete:
C:\WINDOWS\system32\__delete_on_reboot__h_a_d_l_._d_l_l_
C:\WINDOWS\system32\__delete_on_reboot__m_s_a_p_p_3_2_._e_x_e_
C:\WINDOWS\system32\msapp32.exe
C:\WINDOWS\system32\a3p.exe
C:\WINDOWS\system32\hadl.dll
C:\WINDOWS\system32\usb496.dat

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche noch nicht das backup vom avenger - und poste hier den report vom avenger, der nach neustart erscheint

»»
dann scanne noch mal und lasse alles loeschen, was noch angezeigt wird



__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hat leider nur halb geklappt.
Die Fehlermeldung war beim Neustart zwar endlich nicht mehr da, AVG hat nach Avenger auch nichts mehr gefunden, dafür hat Zone Alarm den dann wieder gefunden.

Registry key:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}\0000


Name: 180search Assistant


-------------------------------------------

Hier der Bericht von Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yaocaeau

*******************

Script file located at: \??\C:\Program Files\akrdmibj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\__delete_on_reboot__h_a_d_l_._d_l_l_ not found!
Deletion of file C:\WINDOWS\system32\__delete_on_reboot__h_a_d_l_._d_l_l_ failed!

Could not process line:
C:\WINDOWS\system32\__delete_on_reboot__h_a_d_l_._d_l_l_
Status: 0xc0000034



File C:\WINDOWS\system32\__delete_on_reboot__m_s_a_p_p_3_2_._e_x_e_ not found!
Deletion of file C:\WINDOWS\system32\__delete_on_reboot__m_s_a_p_p_3_2_._e_x_e_ failed!

Could not process line:
C:\WINDOWS\system32\__delete_on_reboot__m_s_a_p_p_3_2_._e_x_e_
Status: 0xc0000034



File C:\WINDOWS\system32\msapp32.exe not found!
Deletion of file C:\WINDOWS\system32\msapp32.exe failed!

Could not process line:
C:\WINDOWS\system32\msapp32.exe
Status: 0xc0000034



File C:\WINDOWS\system32\a3p.exe not found!
Deletion of file C:\WINDOWS\system32\a3p.exe failed!

Could not process line:
C:\WINDOWS\system32\a3p.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hadl.dll not found!
Deletion of file C:\WINDOWS\system32\hadl.dll failed!

Could not process line:
C:\WINDOWS\system32\hadl.dll
Status: 0xc0000034



File C:\WINDOWS\system32\usb496.dat not found!
Deletion of file C:\WINDOWS\system32\usb496.dat failed!

Could not process line:
C:\WINDOWS\system32\usb496.dat
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Advanced Message Server deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

-----------------------------------------------------

Hier der Bericht von AVG:


---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 08:53:09 07.02.2007

+ Scan-Ergebnis:



Keine Bedrohung gefunden.



::Berichtende



Du meintest ich solle da Backup VORERST nicht löschen, soll ich jetzt alle Logs die wir bisher gemacht haben löschen?

Gruß, baghuira

#12 ««
avenger

Zitat

registry keys to delete:
HKLM\SYSTEM\ControlSet002\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}

»»
du solltest die backups noch nicht loeschen, weil ich mir ueber die usb496.dat nicht im klaren bin .... laut virustotal ist die dat sauber, in den "weiten des nets" findet man aber die gleiche Datei als Trojaner.
wende also den avenger an, dann:

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#13 I hoab a PM geschickt
__________
MfG Argus

#14 danke Arnold
ich wusste schon dass Alpha-DVD eine Kopiersperre für Video-DVDs ist, die vom koreanischen Hersteller Settec stammt................
http://193.99.144.85/ct/Redaktion/ghi/faq_dvd/basics/Alpha-DVD.html
nicht sehr angenehm, einen Rootkit auf dem Rechner zu haben

was mir mehr sorgen macht, ist das Durcheinander von der usb496.dat .. es gibt zahlreiche Threads darueber, mal ist der der delft-Trojaner, mal ist es sauber (siehe hier virustotal)...
__________
MfG Sabina

rund um die PC-Sicherheit

#15 So,

Avenger hat eine Error Fehlermeldung angezeigt, da er keine Zip Datei erstellen konnte. Er hat aber erfolgreich entfernt....

Full Scanning

Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Password protected file C:\Programme\PDFCreator\GS8.14\gs8.14\Lib\snowflak.pdf
Could not check D:\Eigene Dateien Jesko\FH\1. Semester\Informatik I\1.Vorlesung.ppt (corrupt)
Could not check D:\Eigene Dateien Jesko\FH\1. Semester\Informatik I\InfoPraktikum1.ppt (corrupt)
Password protected file D:\Eigene Dateien Jesko\FH\1. Semester\Mechanik I\MechanikAufgaben%5FStatik.pdf
Password protected file D:\Eigene Dateien Jesko\FH\2. Semester\Mechanik II\KlausurMechanik04JanuarFestigkeit.pdf
Password protected file D:\Eigene Dateien Jesko\FH\2. Semester\Mechanik II\Mechanik II\AufgabenFestig.pdf
Password protected file D:\Eigene Dateien Jesko\FH\2. Semester\Mechanik II\Mechanik II\Mechanik_V3.pdf
Password protected file D:\Eigene Dateien Jesko\FH\2. Semester\Mechanik II\Mechanik II\TZ_Script.pdf
Password protected file D:\Eigene Dateien Jesko\FH\2. Semester\Mechanik II\Mechanik_Teil_III(Script).pdf
Password protected file D:\Eigene Dateien Jesko\FH\4. Semester\Konstruktion\AufgabenFragenkatalogKonstru.pdf
Password protected file D:\Eigene Dateien Jesko\FH\4. Semester\Konstruktion\Praktikum_Kran.pdf
Password protected file D:\Eigene Dateien Jesko\FH\4. Semester\Konstruktion\ScriptMaschKonstrI.pdf
Password protected file D:\Eigene Dateien Jesko\FH\4. Semester\Konstruktion\ScriptMaschKonstrII.pdf
Password protected file D:\Eigene Dateien Jesko\FH\4. Semester\Konstruktion\ScriptMaschKonstrIII.pdf
Password protected file D:\Eigene Dateien Jesko\FH\4. Semester\Konstruktion\TZ_skript.pdf
>>> Virus 'Mal/Packer' found in file D:\Eigene Dateien Jesko\Programme\Office 2003 Professional\SETUP.EXE
Removal successful

2 boot sectors swept.
20486 files swept in 13 minutes and 52 seconds.
21 errors were encountered.
1 virus was discovered.
1 file out of 20486 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
19 encrypted files were not checked.
Ending Sophos Anti-Virus.

Gruß, baghuira