Home » Viren, Trojaner & Malware Forum » Problem mit Virus Win32:Warezov-AAV » Themenansicht

Problem mit Virus Win32:Warezov-AAV
#0
26.02.2007, 22:11
Phanthomas
...neu hier

Beiträge: 8
#1 Hallo ich hab ein Probelm mit dem Virus

Logfile of HijackThis v1.99.1
Scan saved at 22:06:37, on 26.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\IMMERS~1\TOUCHS~1\Clients\Desktop\IDesktop.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Immersion Corporation\TouchSense\Server\TouchSense.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TuneUp Utilities 2007\Integrator.exe
C:\Programme\TuneUp Utilities 2007\ProcessManager.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Alwil Software\Avast4\ashLogV.exe
C:\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\DOKUME~1\Thommy\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IDesktop.2.5] C:\PROGRA~1\IMMERS~1\TOUCHS~1\Clients\Desktop\IDesktop.exe 1
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AFD9643-3D06-4A1A-A67D-E4A1F21BE66E}: NameServer = 192.168.1.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: confwmv.dll wmvstat.dll
O20 - Winlogon Notify: wmvmgr - C:\WINDOWS\SYSTEM32\wmvmgr32.dll
O20 - Winlogon Notify: xpspqdvd - C:\WINDOWS\system32\xpspqdvd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


«
Seitenanfang Seitenende
26.02.2007, 23:41
Bastib
...neu hier

Beiträge: 7
#2 Hallo, habe den selben Virus eingefangen, da ich mir nicht sicher bin, ob ich genauso vorgehen kann, wie in dem andere Thread zu dem Thema, hier mein Log:


Logfile of HijackThis v1.99.1
Scan saved at 23:36:20, on 26.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wmvconf.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\sccsumdm.exe
C:\DOKUME~1\Bastian\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [wmvdiag] C:\WINDOWS\system32\wmvconf.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Registry Toolkit] C:\Programme\Registry Toolkit\RegToolkit.exe /scan
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: crypds16.dll confwmv.dll wmvstat.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\system32\sccsumdm.dll
O20 - Winlogon Notify: wmvmgr - C:\WINDOWS\SYSTEM32\wmvmgr32.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe


Vielen Dank für die Hilfe, Basti
Seitenanfang Seitenende
27.02.2007, 12:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Phanthomas + Bastib

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

»»
das avengerscript abarbeiten (das komplette script nach Anweisung in den Avenger einkopieren)
http://virus-protect.org/artikel/spyware/warezov3.html

zum Ueberpruefen, ob es Viren gibt, die nicht im Avengerscript enthalten sind:
««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2007, 13:24
Bastib
...neu hier

Beiträge: 7
#4

Zitat

Sabina postete

»»
das avengerscript abarbeiten (das komplette script nach Anweisung in den Avenger einkopieren)
http://virus-protect.org/artikel/spyware/warezov3.html



Sorry, mir ist nicht klar, welches script ich einfügen soll! Das in der Anweisung ist doch nur ein Beispiel, oder?

Bastian
Seitenanfang Seitenende
27.02.2007, 14:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Bastib

nee. kein Beispiel, sondern alle viren, die ich bis jetzt zusammentragen konnte. ;)
Virus Win32:Warezov
(das komplette script nach Anweisung in den Avenger einkopieren)
http://virus-protect.org/artikel/spyware/warezov3.html

««
dann poste die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2007, 15:09
Phanthomas
...neu hier

Themenstarter

Beiträge: 8
#6 27.02.2007 14:25 395.200 perfh009.dat
27.02.2007 14:25 59.440 perfc009.dat
27.02.2007 14:25 408.628 perfh007.dat
27.02.2007 14:25 71.590 perfc007.dat
27.02.2007 14:25 946.824 PerfStringBackup.INI
27.02.2007 14:24 193.776 FNTCACHE.DAT
26.02.2007 23:10 122.142 TZLog.log
26.02.2007 22:21 2.206 wpa.dbl
26.02.2007 13:55 2.323.072 TUKernel.exe
26.02.2007 12:26 11 uiqzmticq.dll
26.02.2007 12:22 58 pfxzmtforum.dll
26.02.2007 12:22 58 pfxzmtwbmail.dll
26.02.2007 12:22 3 sfxzmtsmt.dll
26.02.2007 12:22 3 pfxzmtsmt.dll
26.02.2007 12:22 3 sfxzmtsmtspm.dll
26.02.2007 12:22 3 pfxzmtsmtspm.dll
26.02.2007 12:22 58 pfxzmtymsg.dll
26.02.2007 12:22 58 pfxzmtgtal.dll
26.02.2007 12:22 58 pfxzmtaim.dll
26.02.2007 12:22 58 pfxzmticq.dll
25.02.2007 18:32 77.824 rsvp32_2.dll
25.02.2007 18:32 77.824 rsvp32_2.dll435
25.02.2007 18:32 8.704 sporder.dll
11.02.2007 17:05 9.857 jupdate-1.5.0_11-b03.log
10.02.2007 15:24 9.296 jupdate-1.4.2_13-b06.log
31.01.2007 15:29 23.392 nscompat.tlb
31.01.2007 15:29 16.832 amcompat.tlb
29.01.2007 09:58 60.416 tzchange.exe
28.01.2007 12:52 24 DKRNL.JAX
27.01.2007 22:50 3.002 CONFIG.NT
27.01.2007 21:59 261 $winnt$.inf
26.01.2007 02:19 4.816 divxsm.tlb

Verzeichnis von C:\DOKUME~1\Thommy\LOKALE~1\Temp

27.02.2007 15:04 346 jusched.log
27.02.2007 14:41 49.152 ~DF86AC.tmp
2 Datei(en) 49.498 Bytes
0 Verzeichnis(se), 5.158.760.448 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D060-5FBD

Verzeichnis von C:\WINDOWS

27.02.2007 15:06 983.497 WindowsUpdate.log
27.02.2007 15:03 60 setupact.log
27.02.2007 15:01 1.838 wincmd.ini
27.02.2007 15:00 0 0.log
27.02.2007 14:59 2.048 bootstat.dat
27.02.2007 14:59 14.398 SchedLgU.Txt
27.02.2007 14:24 923 spupdsvc.log
26.02.2007 23:14 466.928 iis6.log
26.02.2007 23:14 144.715 comsetup.log
26.02.2007 23:14 87.619 ntdtcsetup.log
26.02.2007 23:14 197.470 tsoc.log
26.02.2007 23:14 38.502 KB917734.log
26.02.2007 23:14 1.174 wmsetup.log
26.02.2007 23:14 23.940 ocmsn.log
26.02.2007 23:14 1.374 imsins.log
26.02.2007 23:14 21.770 tabletoc.log
26.02.2007 23:14 75.810 netfxocm.log
26.02.2007 23:14 29.750 MedCtrOC.log
26.02.2007 23:14 204.120 ocgen.log
26.02.2007 23:14 21.630 msgsocm.log
26.02.2007 23:14 432.796 FaxSetup.log
26.02.2007 23:14 131.716 msmqinst.log
26.02.2007 23:14 99.612 setupapi.log
26.02.2007 23:13 1.374 imsins.BAK
26.02.2007 23:13 46.729 KB899587.log
26.02.2007 23:13 20.287 updspapi.log
26.02.2007 22:19 8.376 WGA.log
26.02.2007 22:19 7.543 KB898461.log
26.02.2007 18:11 116 NeroDigital.ini
26.02.2007 12:22 36.434 pp.exe
21.02.2007 16:39 194.560 ghostrider.scr
21.02.2007 16:39 606.848 flashax.exe
21.02.2007 16:39 12.288 impborl.dll
21.02.2007 16:39 3.932.214 ACD Hintergrund.bmp
16.02.2007 11:49 504 sMP3m.INI
08.02.2007 22:27 152 ULead32.ini
03.02.2007 18:58 603 win.ini
31.01.2007 15:29 316.640 WMSysPr9.prx
30.01.2007 21:10 10 popcinfo.dat
28.01.2007 15:20 59 RUNAWAY2.INI
28.01.2007 15:16 98.304 system32CmdLineExt.dll
27.01.2007 23:57 3.721 mozver.dat
27.01.2007 23:35 0 nsreg.dat
27.01.2007 23:35 99.970 UninstallFirefox.exe
27.01.2007 22:02 829 OEWABLog.txt
27.01.2007 22:00 8.192 REGLOCS.OLD
27.01.2007 21:56 0 control.ini
27.01.2007 21:56 4.161 ODBCINST.INI
27.01.2007 21:55 749 WindowsShell.Manifest
27.01.2007 21:53 37 vbaddin.ini
27.01.2007 21:53 36 vb.ini
27.01.2007 21:47 0 Sti_Trace.log
27.01.2007 21:44 231 system.ini
27.01.2007 21:43 0 setuperr.log
01.01.2007 06:56 545 RAR.PIF
01.01.2007 06:56 545 LHA.PIF
01.01.2007 06:56 545 UC.PIF
01.01.2007 06:56 545 PKUNZIP.PIF
01.01.2007 06:56 545 PKZIP.PIF
01.01.2007 06:56 545 NOCLOSE.PIF
01.01.2007 06:56 545 ARJ.PIF


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D060-5FBD

Verzeichnis von C:\WINDOWS\Temp

27.02.2007 14:59 16.384 Perflib_Perfdata_2b8.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 5.158.735.872 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D060-5FBD

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.01.2007 21:55 65 desktop.ini
11.12.2006 16:44 367 LegitCheckControl.inf
26.05.2005 04:19 291 wuweb.inf
3 Datei(en) 723 Bytes
0 Verzeichnis(se), 5.158.735.872 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D060-5FBD

Verzeichnis von C:\

27.02.2007 15:08 0 sys.txt
27.02.2007 15:08 402 down.txt
27.02.2007 15:08 289 tmp.txt
27.02.2007 15:07 8.686 system.txt
27.02.2007 15:07 342 systemtemp.txt
27.02.2007 15:05 102.863 system32.txt
27.02.2007 14:59 106.722 avenger.txt
27.02.2007 14:59 1.610.612.736 pagefile.sys
27.01.2007 21:56 0 IO.SYS
27.01.2007 21:56 0 CONFIG.SYS
27.01.2007 21:56 0 AUTOEXEC.BAT
27.01.2007 21:56 0 MSDOS.SYS
12 Datei(en) 1.610.832.040 Bytes
0 Verzeichnis(se), 5.158.735.872 Bytes frei
Seitenanfang Seitenende
27.02.2007, 16:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Phanthomas

schreibe mir, welche dll du findest
LSPfix
http://www.spychecker.com/program/lspfix.html

-------------
ist fuer mich

Zitat

26.02.2007 12:26 11 uiqzmticq.dll
26.02.2007 12:22 58 pfxzmtforum.dll
26.02.2007 12:22 58 pfxzmtwbmail.dll
26.02.2007 12:22 3 sfxzmtsmt.dll
26.02.2007 12:22 3 pfxzmtsmt.dll
26.02.2007 12:22 3 sfxzmtsmtspm.dll
26.02.2007 12:22 3 pfxzmtsmtspm.dll
26.02.2007 12:22 58 pfxzmtymsg.dll
26.02.2007 12:22 58 pfxzmtgtal.dll
26.02.2007 12:22 58 pfxzmtaim.dll
26.02.2007 12:22 58 pfxzmticq.dll
25.02.2007 18:32 77.824 rsvp32_2.dll
25.02.2007 18:32 77.824 rsvp32_2.dll435
25.02.2007 18:32 8.704 sporder.dll

Zitat

http://www.sophos.de/security/analyses/trojspamtoou.html
Troj/SpamToo-U ist ein Spam-Trojaner für die Windows-Plattform.

Wenn er gestartet wird, erstellt Troj/SpamToo-U die folgenden Dateien:

<Temp>\Zupastik.exe - als Troj/SpamToo-U erkannt
<System>\rsvp32_2.dll - als Troj/SpamToo-U erkannt
<System>\sporder.dll - virenfreie Datei
<Temp>\wallpapers_030226_rover_brodyaga.jpg - virenfreie Bilddatei

Troj/SpamToo-U versucht außerdem, die Datei <Temp>\wallpapers_030226_rover_brodyaga.jpg mit dem Standard-Bild-Editor anzuzeigen.

Sobald er installiert ist, registriert Troj/SpamToo-U <System>\rsvp32_2.dll als einen (LSP) Layered Service Provider und stellt die folgenden Registrierungseinträge ein, beim Initialisieren eines Netzwerkstreams gestartet zu werden:

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\
Protocol_Catalog9\Catalog_Entries\

Troj/SpamToo-U kann Einträge an folgender Stelle erstellen:

HKLM\SOFTWARE\WinSock2\Buibert\

Troj/SpamToo-U versucht dann, Spam-Nachrichten über Instant Messaging Client-Anwendungen zu senden, darunter Yahoo! Messenger, und über Webmail Hosting-Websites, darunter webmail.tiscali.co.uk, ComcastWebMail, Google Mail und Care2WebMail.

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2007, 16:24
Phanthomas
...neu hier

Themenstarter

Beiträge: 8
#8 mswsock.dll TCP/IP
winrnr.dll NTDS
rsvpsp.dll (Protocol handler)
Seitenanfang Seitenende
27.02.2007, 16:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Phanthomas

riskieren wir es also .... denn wenn die rsvp32_2.dll doch noch im winsock ist - kommst du nach loeschen nicht mehr ins Internet ;)

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wmvmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xpspqdvd

Files to delete:
C:\WINDOWS\pp.exe
C:\WINDOWS\system32\uiqzmticq.dll
C:\WINDOWS\system32\pfxzmtforum.dll
C:\WINDOWS\system32\pfxzmtwbmail.dll
C:\WINDOWS\system32\sfxzmtsmt.dll
C:\WINDOWS\system32\pfxzmtsmt.dll
C:\WINDOWS\system32\sfxzmtsmtspm.dll
C:\WINDOWS\system32\pfxzmtsmtspm.dll
C:\WINDOWS\system32\pfxzmtymsg.dll
C:\WINDOWS\system32\pfxzmtgtal.dll
C:\WINDOWS\system32\pfxzmtaim.dll
C:\WINDOWS\system32\pfxzmticq.dll
C:\WINDOWS\system32\rsvp32_2.dll
C:\WINDOWS\system32\rsvp32_2.dll435
C:\WINDOWS\system32\sporder.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste hier das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2007, 17:13
Phanthomas
...neu hier

Themenstarter

Beiträge: 8
#10 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wecewhhq

*******************

Script file located at: \??\C:\WINDOWS\system32\nrqvlwwa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\pp.exe deleted successfully.
File C:\WINDOWS\system32\uiqzmticq.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtforum.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtwbmail.dll deleted successfully.
File C:\WINDOWS\system32\sfxzmtsmt.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtsmt.dll deleted successfully.
File C:\WINDOWS\system32\sfxzmtsmtspm.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtsmtspm.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtymsg.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtgtal.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtaim.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmticq.dll deleted successfully.
File C:\WINDOWS\system32\rsvp32_2.dll deleted successfully.
File C:\WINDOWS\system32\rsvp32_2.dll435 deleted successfully.
File C:\WINDOWS\system32\sporder.dll deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wmvmgr not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wmvmgr failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xpspqdvd not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xpspqdvd failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
27.02.2007, 17:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Phanthomas

im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2007, 18:28
Phanthomas
...neu hier

Themenstarter

Beiträge: 8
#12 Sophos Anti-Virus
Version 4.15.0 [Win32/Intel]
Virus data version 4.15, March 2007
Includes detection for 223978 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 18:08:45, System date 27 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan


Full Scanning

>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP38\A0003555.exe
Removal successful
>>> Virus 'W32/Strati-Gen' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP39\A0003596.dll
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP39\A0003599.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP40\A0003631.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP40\A0003644.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP41\A0003688.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP41\A0003699.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP42\A0003721.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP42\A0003724.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP42\A0004723.exe
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP43\A0004739.exe\FILE:0001
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP43\A0005723.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP44\A0005764.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP45\A0006764.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP46\A0006851.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP46\A0019239.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP48\A0019924.exe
Removal successful
>>> Virus 'W32/Strati-Gen' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP48\A0020338.dll
Removal successful
>>> Virus 'W32/Strati-Gen' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP48\A0020341.dll\FILE:0001
>>> Virus 'W32/Strati-Gen' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP48\A0020341.dll\FILE:0003
Removal successful
>>> Virus 'W32/Strati-Gen' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP48\A0020342.dll
Removal successful
>>> Virus 'W32/Strati-Gen' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP48\A0020343.dll
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP48\A0020344.exe
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{15317575-D393-4668-8F15-9B3F1E9C8308}\RP49\A0020381.dll
Removal successful
Could not open C:\WINDOWS\system32\drivers\sptd.sys
Password protected file D:\laptop\zum kopieren\UNI\1. Semester\Grumeko\GRUMEKO_Stand_12_2005_1zu1.pdf
Password protected file D:\laptop\zum kopieren\UNI\1. Semester\Grumeko\GRUMEKO_Stand_12_2005_3zu1.pdf
>>> Virus 'Mal/Packer' found in file D:\TrackMania United\tmunite.dll
Removal successful

2 boot sectors swept.
22681 files swept in 19 minutes and 45 seconds.
3 errors were encountered.
25 viruses were discovered.
24 files out of 22681 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
2 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
27.02.2007, 19:28
Bastib
...neu hier

Beiträge: 7
#13 mhm...
immer wenn ich das beim Avenger eingebe, bekomme ich folgende Fehlermeldung:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


Error: could not open Run key to register cleanup batch.
Error code: 0


Fatal error: could not create Services key.
Error code: 0
Error logged to errorlog.txt. Aborting now!



Habe vorher den Cleanup laufen lassen, wodran kann das liegen?
Seitenanfang Seitenende
27.02.2007, 22:16
Phanthomas
...neu hier

Themenstarter

Beiträge: 8
#14 hatte das problem auch hab den Text nochmal kopiert und dann ging es aufeinmal. Vielleicht hast du ein Leerzeichen zufällig am Anfang und am Ende drin.
Seitenanfang Seitenende
28.02.2007, 00:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Bastib

oder du hast "Zitat" mit reinkopiert ;)

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12