W32/Stration.gen@MM; C:\WINDOWS\system32\mcd3mscm.dll

#0
06.02.2007, 22:23
...neu hier

Beiträge: 8
#1 Hallo zusammen,

ich weiß langsam nicht mehr weiter, bekomme immer diese Virenmeldung, wenn der PC gestartet wird. BITTE,BITTE helft mir!!

C:\WINDOWS\system32\mcd3mscm.dll
W32/Stration.gen@MM

habe versucht mich ein bisschen einzulesen und hoffe, dass die ganzen Logs, die ihr braucht, um mir hoffentlich helfen zu können ausreichen.

Logfile of HijackThis v1.99.1
Scan saved at 22:10:43, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\windows\system32\mspradme.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQ5\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [mspradme] C:\windows\system32\mspradme.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ5\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166824628010
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/microsite/6391/defaults/activex/ImageUploader3.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: winyvo32 - winyvo32.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

----> 2.) DAT Find
als .txt angehängt, weil zu wenig platz



reicht das, oder muss ich noch etwas machen?

Wie muss ich weiter vorgehen?
Ich wäre super dankbar, wenn mir jemand helfen könnte!!!!

---------

Zitat

Verzeichnis von C:\WINDOWS\system32

17.12.2006 13:59 20.480 e1.dll
17.12.2006 13:59 20.480 rdpwmsjt.exe
17.12.2006 13:59 28.672 vb5dmspo.dll
17.12.2006 13:59 64.512 mspradme.exe
C:\WINDOWS\system32\mcd3mscm.dll


Verzeichnis von C:\DOKUME~1\Privat\LOKALE~1\Temp

06.02.2007 22:20 66.713 bt7070.bat
06.02.2007 22:19 66.713 bt4535.bat


Anhang: dirdat.txt
Seitenanfang Seitenende
07.02.2007, 13:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 MissyEla

1.
CleanUp anwenden
http://www.ccleaner.de/?protecus.de

2.
poste noch dieses log, dann habe ich alles komplett fuer die reinigung
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2007, 18:03
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo Sabina,

danke für deine schnelle Antwort.

Hier die .txt mit dem Ergebnis von CleanUp.

Und hier das ComboFix:

"Ela" - 07-02-08 19:29:53 Service Pack 2
ComboFix 07-02-07 - Running from: "C:\Dokumente und Einstellungen\Ela\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2007-01-08 to 2007-02-08 ))))))))))))))))))))))))))))))))))


2007-02-08 19:22 24,576 --a------ C:\WINDOWS\system32\mcd3mscm.dll
2007-02-07 18:36 <DIR> d-------- C:\Programme\CCleaner
2007-02-06 21:42 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-02-06 21:42 <DIR> d-------- C:\Programme\Grisoft
2007-02-06 20:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Symantec
2007-02-06 20:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-01-28 20:00 40,960 --a------ C:\WINDOWS\system\Omniuns.exe
2007-01-28 19:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-01-20 13:39 <DIR> d-------- C:\Programme\PicMaster
2007-01-20 13:27 <DIR> d-------- C:\Programme\DiaShow07
2007-01-15 21:03 106,496 --a------ C:\WINDOWS\UPSCR.Scr
2007-01-15 21:03 <DIR> d-------- C:\Programme\Ulead Systems
2007-01-15 20:39 49,152 --a------ C:\WINDOWS\system32\stvscale.dll
2007-01-15 20:39 430,080 --a------ C:\WINDOWS\system32\stvcol.dll
2007-01-15 20:39 36,864 --a------ C:\WINDOWS\system32\stv680tg.dll
2007-01-15 20:39 229,376 --a------ C:\WINDOWS\system32\stv680u.dll
2007-01-15 20:39 112,564 --------- C:\WINDOWS\restart.exe
2007-01-11 15:01 929,792 --a------ C:\WINDOWS\system32\AegisE5.dll
2007-01-11 15:01 651,264 --a------ C:\WINDOWS\system32\libeay32.dll
2007-01-11 15:01 379,488 --a------ C:\WINDOWS\system32\drivers\wg111nd5.sys
2007-01-11 15:01 15,781 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys
2007-01-11 15:01 147,456 --a------ C:\WINDOWS\system32\ssleay32.dll
2007-01-11 15:01 <DIR> d-------- C:\Programme\NETGEAR


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-07 18:43 -------- d-------- C:\Programme\yahoo!
2007-01-29 21:18 -------- d-------- C:\DOKUME~1\Ela\Anwendungsdaten\skype
2007-01-28 19:47 -------- d-------- C:\Programme\skype
2007-01-22 12:57 -------- d-------- C:\Programme\mozilla firefox
2007-01-20 13:28 -------- d---s---- C:\DOKUME~1\Ela\Anwendungsdaten\microsoft
2007-01-15 20:19 -------- d-------- C:\Programme\quicktime
2007-01-11 15:01 -------- d--h----- C:\Programme\installshield installation information
2006-12-30 14:01 -------- d-------- C:\Programme\icq5
2006-12-17 13:59 64512 --a------ C:\WINDOWS\system32\mspradme.exe
2006-12-17 13:59 28672 --a------ C:\WINDOWS\system32\vb5dmspo.dll
2006-12-17 13:59 20480 --a------ C:\WINDOWS\system32\rdpwmsjt.exe
2006-12-17 13:59 20480 --a------ C:\WINDOWS\system32\e1.dll
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"00THotkey"="C:\\WINDOWS\\System32\\00THotkey.exe"
"000StTHK"="000StTHK.exe"
"TFNF5"="TFNF5.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"SigmaTel StacMon"="C:\\Programme\\SigmaTel\\SigmaTel AC97 Audio-Treiber\\stacmon.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"TouchED"="C:\\Programme\\TOSHIBA\\TouchED\\TouchED.Exe"
"LTSMMSG"="LTSMMSG.exe"
"TPSMain"="TPSMain.exe"
"TMESRV.EXE"="C:\\Programme\\TOSHIBA\\TME3\\TMESRV31.EXE /Logon"
"TMERzCtl.EXE"="C:\\Programme\\TOSHIBA\\TME3\\TMERzCtl.EXE /Service"
"TFncKy"="TFncKy.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"PRONoMgr.exe"="c:\\Programme\\Intel\\PROSetWireless\\NCS\\PROSet\\PRONoMgr.exe"
"ShStatEXE"="\"C:\\Programme\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Programme\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
"ezShieldProtector for Px"="C:\\WINDOWS\\System32\\ezSP_Px.exe"
"B'sCLiP"="C:\\PROGRA~1\\B'SCLI~1\\Win2K\\BSCLIP.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb07.exe"
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"mmtask"="c:\\Program Files\\MusicMatch\\MusicMatch Jukebox\\mmtask.exe"
"Arcor Online"=""
"EPSON Stylus C66 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0S2.EXE /P23 \"EPSON Stylus C66 Series\" /O6 \"USB001\" /M \"Stylus C66\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ICQ Lite"="\"C:\\Programme\\ICQ5\\ICQLite.exe\" -minimize"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"LXSUPMON"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"mspradme"="C:\\windows\\system32\\mspradme.exe"
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="vb5dmspo.dll e1.dll"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winyvo32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_PCANDIS5


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

? [2996]

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-08 19:35:45

Gruß, Ela

Anhang: cclear.txt
Dieser Beitrag wurde am 08.02.2007 um 19:44 Uhr von MissyEla editiert.
Seitenanfang Seitenende
08.02.2007, 23:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 MissyEla

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mspradme

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winyvo32

Files to delete:
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\rdpwmsjt.exe
C:\WINDOWS\system32\vb5dmspo.dll
C:\WINDOWS\system32\mspradme.exe
C:\WINDOWS\system32\mcd3mscm.dll
C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\bt7070.bat
C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\bt4535.bat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
versuche die Windowsupdates zu machen und berichte, ob es klappt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2007, 18:01
...neu hier

Themenstarter

Beiträge: 8
#5 Also, erstmal riesen großes DANKESCHÖN, für deine Hillfe!!
Windows Update war zwar auf Automatisch gestellt, wird aber im Security Center als inaktiv angezeigt.
Beim Neustarten kam auch erstmal keine Virenmeldung, jetzt während dem Arbeiten kam allerdings wieder folgendes:

\System Volume Information\_restore{F1351B97-4E4F-4AFA-AD14-C13FC05C725F}\RP586\A0130176.dl
W32/Stration.gen@MM

Ich verstehe das nicht. Ist vielleicht doch formatieren das beste??
Oder gibt es noch Aussicht auf Rettung?
Seitenanfang Seitenende
10.02.2007, 00:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 MissyEla

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren
(dann wieder aktivieren)

»»
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 15:29
...neu hier

Themenstarter

Beiträge: 8
#7 Ok, habe ich gemacht!
Allerdings war das Häcken während des Scans noch deaktiviert, hoffe, ich habe das richtig verstanden.

Anhang: look1.txt
Dieser Beitrag wurde am 10.02.2007 um 15:39 Uhr von MissyEla editiert.
Seitenanfang Seitenende
10.02.2007, 15:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
gehe in die Registry
Start - Ausfuehren - regedit

»»
klicke dich durch zum Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update


berichte, ob es den Schluessel WindowsUpdate gibt

------------------------------------------------

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=dword:00000000 - in 1 aendern (also aktivieren)

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 16:35
...neu hier

Themenstarter

Beiträge: 8
#9 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

das habe ich nicht gefunden, der andere ordner war da und den wer habe ich auf 1 geändert. Aber WinUpdate geht noch immer nicht.
Dieser Beitrag wurde am 10.02.2007 um 16:59 Uhr von MissyEla editiert.
Seitenanfang Seitenende
10.02.2007, 17:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 MissyEla

http://virus-protect.org/artikel/spyware/warezov_1.html

in der Registry

klicke dich durch zum Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

falls es den Schlüssel nicht geben sollte, da vom Virus gelöscht, erstelle mit rechtklick auf

Windows - wähle: "neu" - WindowsUpdates

von dem Schlüssel WindowsUpdate aus erstellst du dann "neu" den Schlüssel AU




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

von dem Schlüssel WindowsUpdate aus erstellst du dann "neu" den Schlüssel Auto Update



Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als import.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000005
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000002
"ConfigVer"=dword:00000001
import.reg doppelt klicken und mit yes der registry beifuegen + den Rechner neustarten

««
gehe in die registry
Start - Ausführen - regedit
klicke dich durch zum Schluessel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

oben links auf "exportieren" klicken und die Datei jeweils als update.txt und date.txt abspeichern (zur überprüfung) - und hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 20:33
...neu hier

Themenstarter

Beiträge: 8
#11 date.txt :
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000004
"ODFFileURL"="http://v4.windowsupdate.microsoft.com/odf/wuodf.xml"
"DetectionStartTime"="2004.09.18 12:04:42"
"ResetAU"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"ConfigVer"=dword:00000001
"NextDetectionTime"="2006-12-18 09:24:55"
"ScheduledInstallDate"="2006-12-18 02:00:00"
"BalloonTime"="2006-12-17 12:28:14"
"BalloonType"=dword:00000005
"OfflineDetectionPending"=dword:00000001

update.txt :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000005
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011
"RescheduleWaitTime"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001
Seitenanfang Seitenende
10.02.2007, 21:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 funktionieren die windowsupdates ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 10:31
...neu hier

Themenstarter

Beiträge: 8
#13 Nein, irgendwie gehts immer noch nicht, auch nicht manuell!!
Seitenanfang Seitenende
11.02.2007, 12:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 suche, ob du in der registry findest:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWindowsUpdate" - auf 0 setze, falls es vorhanden ist

ueberpruefe und erstelle neu, falls AUState nicht vorhanden ist:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUState"=dword:00000002

und starte den rechner neu + berichte

--------------

http://www.rz.uni-kiel.de/pc/sus/index.html
* Einstellungen rund um Automtische Updates prüfen mittels vbs-Datei
Die Prüfung der Einstellungen rund um den "Automatische Updates" Dienst sind mittels einer Visual Basic Script (.vbs) Datei möglich. Laden Sie die entsprechende Datei "AUBehave.vbs" herunter und rufen Sie diese auf. Folgen Sie den Anweisungen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 15:25
...neu hier

Themenstarter

Beiträge: 8
#15 Ich komme damit irgendwie nicht so klar, habe jetzt mal dieses tool drüber laufen lassen und dabei kam folgendes raus (siehe doc1)

Also der Wurm bzw Virus scheint aber beseitigt, weil ich habe beim Neustart keine Virenmeldung mehr, das ist schonmal ein riesen Erfolg für mich, danke!!

Anhang: Dok1.doc
Seitenanfang Seitenende