Trojaner RKit.Agent.DW.1 und infizierte wuauclt.exeThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
04.03.2007, 17:37
Member
Beiträge: 11 |
||
|
||
04.03.2007, 17:46
Ehrenmitglied
Beiträge: 29434 |
#2
Avenger
http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Download TrendMicro's Rootkit Buster - Double-click RootkitBuster.exe - TMRB.Log http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip --------- http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.03.2007, 23:09
Member
Themenstarter Beiträge: 11 |
#3
Vielen Dank für die Tipps!
Ich habe den Avenger laufen lassen. Hier die beiden gewünschten Log-files: RootkitBuster: SDFix: Version 1.69 Run by Evelyn - 05.03.2007 @ 19:04:45,32 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix\SDFix Safe Mode: Checking Services: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\as.txt - Deleted C:\WINDOWS\regedit.com - Deleted ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Bilderland\\CChat.exe"="C:\\Bilderland\\CChat.exe:*:Enabled:Microsoft Chat" "C:\\Programme\\Spiele\\Kyodai Mahjongg\\kmj.exe"="C:\\Programme\\Spiele\\Kyodai Mahjongg\\kmj.exe:*:Disabled:kmj" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Backups Folder: - C:\SDFix\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : Add/Remove Programs List: 1st Page 2000 2.00 Free ATI - Software Uninstall Utility Avira AntiVir PersonalEdition Classic ATI Display Driver Canon Camera Access Library Canon Camera Window DC_DV 5 for ZoomBrowser EX Canon Camera Window DC_DV 6 for ZoomBrowser EX Canon Camera Window MC 6 for ZoomBrowser EX CANON iMAGE GATEWAY Task for ZoomBrowser EX Canon Internet Library for ZoomBrowser EX CleanUp! Microsoft Chat 2.5 Canon Camera Support Core Library Canon Utilities Digital Photo Professional 2.2 Canon Utilities EOS Utility ffdshow FileZilla (remove only) Flock (Photobucket Edition) 0.7 HijackThis 1.99.1 HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series ICQ 5.1 QuickTime InterActual Player Kyodai Mahjongg MySpaceIM Nero 6 Ultra Edition Nikon FotoShare NVIDIA Drivers Canon Utilities PhotoStitch Canon RAW Image Task for ZoomBrowser EX Real Alternative 1.44 Canon RemoteCapture Task for ZoomBrowser EX Adobe Flash Player 9 ActiveX ICQ Toolbar VOX 3D Planer WinRAR archiver Yahoo! Toolbar Yahoo! Toolbar Canon Utilities ZoomBrowser EX ATI Control Panel QuickTime CSI: Dark Motives Microsoft Works PowerDVD HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber AonInformer DiMAGE Viewer HP Foto- und Bildbearbeitung 2.0 - All-in-One ArcSoft Panorama Maker 3 Adobe Reader 6.0.1 HP Speicher-Disc Athlon 64 Processor Driver hp psc 1200 series PlexTools Professional V2.23 Nikon Message Center Alcatel SpeedTouch USB Software Realtek AC'97 Audio PictureProject Danke nochmal, Billy |
|
|
||
06.03.2007, 08:42
Ehrenmitglied
Beiträge: 29434 |
#4
««
http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 - scanne und poste den report »» scanne mit kaspersky und poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.03.2007, 21:19
Member
Themenstarter Beiträge: 11 |
#5
Ich habe gerade gesehen, dass das RootkitBuster-Log nicht ordentlich reinkopiert wurde:
+---------------------------------------------------- | Trend Micro RootkitBuster 1.6 Beta. | Module version: 1.6.0.1052 +---------------------------------------------------- --== Dump Hidden File on C:\ ==-- No hidden files found. --== Dump Hidden Registry Value on HKLM ==-- No hidden registry entries found. --== Dump Hidden Process ==-- No hidden processes found. --== Dump Hidden Driver ==-- No hidden drivers found. Sophos report: Password protected file C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\Adobe\Acrobat\6.0\Messages\ENU\read0600win_ENUadbe0062q.pdf Password protected file C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\Adobe\Acrobat\6.0\Messages\ENU\read0600win_ENUyhoo0014q.pdf Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\ENU\RdrMsgENU.pdf 1 boot sector swept. 22188 files swept in 59 minutes and 55 seconds. 3 errors were encountered. No viruses were discovered. 3 encrypted files were not checked. Ending Sophos Anti-Virus. Kaspersky-Report: Dienstag, 6. März 2007 21:23:16 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 6/03/2007 Anzahl der Einträge in den Antiviren-Datenbanken: 261607 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz A:\ C:\ D:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 46228 Viren gefunden 0 Infizierte Objekte gefunden 0 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:45:52 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace\IM\Logs\MySpaceIM-Network-20070306-192945.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace\IM\Logs\MySpaceIm_03-06-2007-19-29-40-0843.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DF34F.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DF5D53.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DFC7C8.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DFE417.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DFE420.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007030620070307\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Evelyn\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{D255FC8F-CA50-4635-99EB-E1FD505652E8}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Danke,Billy Dieser Beitrag wurde am 06.03.2007 um 21:30 Uhr von PCBil editiert.
|
|
|
||
06.03.2007, 23:33
Ehrenmitglied
Beiträge: 29434 |
||
|
||
07.03.2007, 22:31
Member
Themenstarter Beiträge: 11 |
#7
ComboScan v20070226.18 run by Evelyn on 2007-03-07 at 18:50:32
Computer is in Normal Mode. -------------------------------------------------------------------------------- -- HijackThis (run as CheckHJ.exe) ----------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 18:50:35, on 07.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alcatel\Dragdiag.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AonInformer\informer.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\MySpace\IM\MySpaceIM.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wuauclt.exe C:\CheckEvi\comboscan.exe C:\WINDOWS\system32\wuauclt.exe C:\CheckHJ\CheckHJn.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://ppol.web-album.at/upload_pro/ImageUploader3.cab O16 - DPF: {A91DEB0D-AD0D-453E-9AC8-60178EC24212} (VPlayer Control) - http://www.sonypictures.com/movies/davincicode/vividas/player/vivid_ocx.jpeg O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/IPSUploader.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- Files created between 2007-02-07 and 2007-03-07 ------------------------------ 2007-03-06 20:09:51 0 d-------- C:\SAV32CLI 2007-03-06 20:08:26 0 d-------- C:\WINDOWS\system32\Kaspersky Lab<KASPER~1> 2007-03-06 19:49:12 0 dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten<FAVORI~1> 2007-03-05 19:11:49 153600 --a------ C:\WINDOWS\REGEDIT.COM 2007-03-05 18:59:35 0 d-------- C:\SDFix 2007-03-05 18:57:36 102800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-03-05 18:57:02 124696 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-03-05 18:53:07 0 d-------- C:\avenger 2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\zts2.exe 2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\rundll16.exe 2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\rundl132.dll 2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\logo1_.exe 2007-03-04 18:24:16 0 d-------- C:\WINDOWS\pss 2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\TASKMGR.COM 2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\T.COM 2007-03-04 18:21:37 153600 --a------ C:\WINDOWS\R.COM 2007-03-04 18:18:33 0 d-------- C:\Bases_X 2007-03-04 16:41:57 507392 --a------ C:\WINDOWS\system32\winlogon.exe 2007-03-04 14:35:10 0 d-------- C:\CleanUp! 2007-03-02 19:11:49 0 d-------- C:\CheckHJ -- Find3M Report ---------------------------------------------------------------- 2007-03-06 21:42:06 90612 --a------ C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\CleanUp!.log 2007-02-05 19:29:20 0 d-------- C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace 2007-02-05 19:29:18 0 d-------- C:\Programme\MySpace 2007-01-29 16:59:51 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1> 2007-01-22 19:16:26 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1> -- Registry Dump ---------------------------------------------------------------- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\"" "MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\Dragdiag.exe\" /icon" "SoundMan"="SOUNDMAN.EXE" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "jservice"="C:\\Programme\\AonInformer\\informer.exe" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "XRONHIYSFNVV"=dword:00000003 "GDCX"=dword:00000003 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{93994DE8-8239-4655-B1D1-5F4E91300429}"="" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" "MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" "MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 -- End of ComboScan: finished at 2007-03-07 at 18:50:50 ------------------------- Danke Billy |
|
|
||
07.03.2007, 22:42
Ehrenmitglied
Beiträge: 29434 |
#8
««
Info: http://virus-protect.org/artikel/spyware/rundl132_dll.html «« Avenger Zitat Files to delete:poste den report vom avenger nach neustart «« Hoster.zip - HostsXpert http://www.funkytoad.com/download/HostsXpert.zip Press 'Restore Microstoft's Hosts File' and press 'OK' Exit Program. «« poste das log Supplementary.txt + noch mal ComboScan.txt http://virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.03.2007, 21:05
Member
Themenstarter Beiträge: 11 |
#9
Das Avenger-Log:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\mnsldpxo ******************* Script file located at: \??\C:\WINDOWS\ttglinpu.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Error: C:\WINDOWS\system32\vcmgcd32.dll is a folder, not a file! Deletion of file C:\WINDOWS\system32\vcmgcd32.dll failed! Could not process line: C:\WINDOWS\system32\vcmgcd32.dll Status: 0xc00000ba Error: C:\WINDOWS\zts2.exe is a folder, not a file! Deletion of file C:\WINDOWS\zts2.exe failed! Could not process line: C:\WINDOWS\zts2.exe Status: 0xc00000ba Error: C:\WINDOWS\system32\iifgfgf.dll is a folder, not a file! Deletion of file C:\WINDOWS\system32\iifgfgf.dll failed! Could not process line: C:\WINDOWS\system32\iifgfgf.dll Status: 0xc00000ba Error: C:\WINDOWS\logo1_.exe is a folder, not a file! Deletion of file C:\WINDOWS\logo1_.exe failed! Could not process line: C:\WINDOWS\logo1_.exe Status: 0xc00000ba Error: C:\WINDOWS\rundl132.dll is a folder, not a file! Deletion of file C:\WINDOWS\rundl132.dll failed! Could not process line: C:\WINDOWS\rundl132.dll Status: 0xc00000ba File C:\WINDOWS\system32\wuauclt.exe deleted successfully. Error: C:\WINDOWS\rundll16.exe is a folder, not a file! Deletion of file C:\WINDOWS\rundll16.exe failed! Could not process line: C:\WINDOWS\rundll16.exe Status: 0xc00000ba Folder C:\WINDOWS\zts2.exe deleted successfully. Folder C:\WINDOWS\system32\vcmgcd32.dll deleted successfully. Folder C:\WINDOWS\system32\iifgfgf.dll deleted successfully. Folder C:\WINDOWS\logo1_.exe deleted successfully. Folder C:\WINDOWS\rundl132.dll deleted successfully. Folder C:\WINDOWS\rundll16.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. ------------------------------- Combuscan-Log: ComboScan v20070226.18 run by Evelyn on 2007-03-08 at 18:25:29 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- HijackThis (run as Evelyn.exe) ----------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 18:25:34, on 08.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alcatel\Dragdiag.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AonInformer\informer.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\MySpace\IM\MySpaceIM.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\CheckEvi\comboscan.exe C:\CheckEvi\Evelyn.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://ppol.web-album.at/upload_pro/ImageUploader3.cab O16 - DPF: {A91DEB0D-AD0D-453E-9AC8-60178EC24212} (VPlayer Control) - http://www.sonypictures.com/movies/davincicode/vividas/player/vivid_ocx.jpeg O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/IPSUploader.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- Files created between 2007-02-08 and 2007-03-08 ------------------------------ 2007-03-08 17:45:44 0 d-------- C:\avenger 2007-03-06 20:09:51 0 d-------- C:\SAV32CLI 2007-03-06 20:08:26 0 d-------- C:\WINDOWS\system32\Kaspersky Lab<KASPER~1> 2007-03-06 19:49:12 0 dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten<FAVORI~1> 2007-03-05 19:11:49 153600 --a------ C:\WINDOWS\REGEDIT.COM 2007-03-05 18:59:35 0 d-------- C:\SDFix 2007-03-05 18:57:36 102800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-03-04 18:24:16 0 d-------- C:\WINDOWS\pss 2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\TASKMGR.COM 2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\T.COM 2007-03-04 18:21:37 153600 --a------ C:\WINDOWS\R.COM 2007-03-04 18:18:33 0 d-------- C:\Bases_X 2007-03-04 16:41:57 507392 --a------ C:\WINDOWS\system32\winlogon.exe 2007-03-04 14:35:10 0 d-------- C:\CleanUp! 2007-03-02 19:11:49 0 d-------- C:\CheckEvi -- Find3M Report ---------------------------------------------------------------- 2007-03-07 18:57:09 0 d-------- C:\Programme\ICQLite 2007-03-06 21:42:06 90612 --a------ C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\CleanUp!.log 2007-02-05 19:29:20 0 d-------- C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace 2007-02-05 19:29:18 0 d-------- C:\Programme\MySpace 2007-01-29 16:59:51 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1> 2007-01-22 19:16:26 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1> -- Registry Dump ---------------------------------------------------------------- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\"" "MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\Dragdiag.exe\" /icon" "SoundMan"="SOUNDMAN.EXE" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "jservice"="C:\\Programme\\AonInformer\\informer.exe" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "XRONHIYSFNVV"=dword:00000003 "GDCX"=dword:00000003 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{93994DE8-8239-4655-B1D1-5F4E91300429}"="" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" "MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" "MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 -- End of ComboScan: finished at 2007-03-08 at 18:25:51 ------------------------- Anhang: Supplementary.txt
|
|
|
||
09.03.2007, 01:08
Ehrenmitglied
Beiträge: 29434 |
#10
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.03.2007, 19:31
Member
Themenstarter Beiträge: 11 |
#11
The script did not recognize the services listed below.
This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Home Edition Version: 5.1.2600 Service Pack 2 Mär 9, 2007 19:12:48 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir Scheduler Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1416 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Service Start Mode: Auto Start Name: LocalSystem Description: Echtzeit Virenschutz durch H+BEDV AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1428 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 3 Service Name: CCALib8 Display Name: Canon Camera Access Library 8 Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\canon\cal\calmain.exe State: Running Process ID: 1884 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 4 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #5 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{75441c62-a1c5-4d5e-9f5b-520b57548b7e} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 83 Win32 services on this machine. 5 were unrecognized. Script Execution Time: 1,421875 seconds. Danke, Billy |
|
|
||
10.03.2007, 01:05
Ehrenmitglied
Beiträge: 29434 |
#12
««
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) XRONHIYSFNVV in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) GDCX in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. »»»»»»»»»»» scanne mit Scan F-secure/ Online und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.03.2007, 11:46
Member
Themenstarter Beiträge: 11 |
#13
RegSearch XRONHIYSFNVV:
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 10.03.2007 11:40:45 for strings: ; 'xronhiysfnvv' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services] "XRONHIYSFNVV"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV\0000] "Service"="XRONHIYSFNVV" "DeviceDesc"="XRONHIYSFNVV" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV\0000] "Service"="XRONHIYSFNVV" "DeviceDesc"="XRONHIYSFNVV" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV\0000] "Service"="XRONHIYSFNVV" "DeviceDesc"="XRONHIYSFNVV" ; End Of The Log... RegSearch GDCX: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 10.03.2007 11:42:39 for strings: ; 'gdcx' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services] "GDCX"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX\0000] "Service"="GDCX" "DeviceDesc"="GDCX" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX\0000] "Service"="GDCX" "DeviceDesc"="GDCX" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX\0000] "Service"="GDCX" "DeviceDesc"="GDCX" ; End Of The Log... F-Secure Online Scan: Scanning Report Saturday, March 10, 2007 11:51:31 - 12:23:02 Computer name: EVELYN-86BBC9AD Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ -------------------------------------------------------------------------------- Result: 8 malware found Tracking Cookie (spyware) System (Disinfected) System System System (Submitted) System System System System -------------------------------------------------------------------------------- Statistics Scanned: Files: 22568 System: 3883 Not scanned: 2 Actions: Disinfected: 1 Renamed: 0 Deleted: 0 None: 7 Submitted: 1 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT -------------------------------------------------------------------------------- Options Scanning engines: F-Secure Libra: 2.4.2, 2007-03-08 F-Secure AVP: 7.0.171, 2007-03-09 F-Secure Orion: 1.2.37, 2007-03-09 F-Secure Blacklight: 1.0.53, 0000-00-00 F-Secure Draco: 1.0.35, 0260-02-44 F-Secure Pegasus: 1.19.0, 2007-02-06 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX Use Advanced heuristics Als er die Tracking-Cookies desinfizieren wollte, hat das Programm gestoppt, deshalb habe ich die Aktion abgebrochen und die Cookies manuell entfernt. Danke, Billy Dieser Beitrag wurde am 10.03.2007 um 12:25 Uhr von PCBil editiert.
|
|
|
||
10.03.2007, 15:10
Ehrenmitglied
Beiträge: 29434 |
#14
Avenger
http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat drivers to unload:»» scanne und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.03.2007, 19:33
Member
Themenstarter Beiträge: 11 |
#15
Avenger:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\pbislblh ******************* Script file located at: \??\C:\WINDOWS\uhibqldd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key \Registry\Machine\System\CurrentControlSet\Services\XRONHIYSFNVV not found! Unload of driver XRONHIYSFNVV failed! Could not process line: XRONHIYSFNVV Status: 0xc0000034 Registry key \Registry\Machine\System\CurrentControlSet\Services\GDCX not found! Unload of driver GDCX failed! Could not process line: GDCX Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV Status: 0xc0000034 File C:\WINDOWS\TEMP\wuauclt.exe not found! Deletion of file C:\WINDOWS\TEMP\wuauclt.exe failed! Could not process line: C:\WINDOWS\TEMP\wuauclt.exe Status: 0xc0000034 File C:\WINDOWS\system32\wuauclt1.exe deleted successfully. File C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\XRONHIYSFNVV.exe not found! Deletion of file C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\XRONHIYSFNVV.exe failed! Could not process line: C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\XRONHIYSFNVV.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\GDCX.exe not found! Deletion of file C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\GDCX.exe failed! Could not process line: C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\GDCX.exe Status: 0xc0000034 Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services|XRONHIYSFNVV deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services|GDCX deleted successfully. Completed script processing. ******************* Finished! Terminate. Dr Web: [Prüfpfad] C:\ C:\Dokumente und Einstellungen\Evelyn\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\Evelyn\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DF50D0.tmp - Lesefehler C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Programme\AonInformer\informer.exe infiziert mit einer Modifikation Win32.HLLM.Generic.308 - verschoben C:\SDFix\SDFix\apps\Process.exe ist ein Hacktool Tool.Prockill C:\System Volume Information\_restore{AE9DFFAA-5F10-4299-AEC1-7E2E9F8AA1B8}\RP2\A0004230.exe infiziert mit einer Modifikation Win32.HLLM.Generic.308 - verschoben C:\WINDOWS\system32\config\default - Lesefehler C:\WINDOWS\system32\config\default.LOG - Lesefehler C:\WINDOWS\system32\config\SAM - Lesefehler C:\WINDOWS\system32\config\SAM.LOG - Lesefehler C:\WINDOWS\system32\config\SECURITY - Lesefehler C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler C:\WINDOWS\system32\config\software - Lesefehler C:\WINDOWS\system32\config\software.LOG - Lesefehler C:\WINDOWS\system32\config\system - Lesefehler C:\WINDOWS\system32\config\system.LOG - Lesefehler ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 75032 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 2 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 1 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 2 Ignorierte Objekte: 0 Leistung:: 959 Kb/s Dauer:: 00:56:32 ----------------------------------------------------------------------------- C:\SDFix\SDFix\apps\Process.exe - nicht desinfizierbar - verschoben ============================================================================= Gesamte Sitzungsstatistik ============================================================================= Geprüfte Objekte: 75312 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 3 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 1 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 4 Ignorierte Objekte: 0 Leistung:: 975 Kb/s Dauer:: 00:56:55 ============================================================================= Danke, Billy |
|
|
||
meine Schwester hat sich auf ihrem Computer oben genanntes Rootkit eingefangen. AntiVir hat es erkannt, wir haben inzwischen von dem Ding angelegte Datei runtime.sys gelöscht und die infizierte winlogon.exe von der Installations-CD neu installiert. Es scheint aber so, als wäre da noch so ein Fiesling in der wuauclt.exe (von der gibt es nämlich auch eine Kopie in Windows/Temp, wo sie ja nicht zu suchen hat). Ein Online-Scan der Datei hat das bestätigt. Jetzt frage ich mich natürlich, ob da noch mehr ist.
Hier die diversen Scans:
Comboscan:
ComboScan v20070226.18 run by *** on 2007-03-04 at 14:48:17
Computer is in Normal Mode.
--------------------------------------------------------------------------------
Successfully created restore point.
Performed disk cleanup.
-- HijackThis (run as CheckHJ.com) -----------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14:50:02, on 04.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AonInformer\informer.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\TEMP\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Rootkit\comboscan.exe
C:\CheckHJ\CheckHJ.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [HijackThis startup scan] C:\CheckEvi\HijackThis.exe /startupscan
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://ppol.web-album.at/upload_pro/ImageUploader3.cab
O16 - DPF: {A91DEB0D-AD0D-453E-9AC8-60178EC24212} (VPlayer Control) - http://www.sonypictures.com/movies/davincicode/vividas/player/vivid_ocx.jpeg
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/IPSUploader.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: GDCX - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\GDCX.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: XRONHIYSFNVV - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\XRONHIYSFNVV.exe (file missing)
-- File Associations ------------------------------------------------------------
.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------
1R AFS2K - C:\WINDOWS\system32\drivers\AFS2K.SYS
3R alcan5wn (Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN)) - C:\WINDOWS\system32\drivers\alcan5wn.sys
3R alcaudsl (Alcatel Speed Touch ADSL Modem ATM Transport) - C:\WINDOWS\system32\drivers\alcaudsl.sys
3R ALCXWDM (Service for Realtek AC97 Audio (WDM)) - C:\WINDOWS\system32\drivers\ALCXWDM.SYS
1R AmdK8 (AMD Athlon64-Prozessortreiber) - C:\WINDOWS\system32\drivers\AmdK8.sys
3R ati2mtag - C:\WINDOWS\system32\drivers\ati2mtag.sys
1R avgntdd - C:\WINDOWS\system32\drivers\avgntdd.sys
0R avgntmgr - C:\WINDOWS\system32\drivers\avgntmgr.sys
1S EXAMPLE - C:\WINDOWS\system32\main.sys (not found)
3S HPZid412 (IEEE-1284.4 Driver HPZid412) - C:\WINDOWS\system32\drivers\hpzid412.sys
3S HPZipr12 (Print Class Driver for IEEE-1284.4 HPZipr12) - C:\WINDOWS\system32\drivers\HPZipr12.sys
3S HPZius12 (USB to IEEE-1284.4 Translation Driver HPZius12) - C:\WINDOWS\system32\drivers\HPZius12.sys
3R ms_mpu401 (Microsoft MPU-401 MIDI UART-Treiber) - C:\WINDOWS\system32\drivers\msmpu401.sys
3R MTsensor (ATK0110 ACPI UTILITY) - C:\WINDOWS\system32\drivers\ASACPI.sys
0R nvatabus - C:\WINDOWS\system32\drivers\nvatabus.sys
3R NVENETFD (NVIDIA nForce Networking Controller Driver) - C:\WINDOWS\system32\drivers\NVENETFD.sys
3R nvnetbus (NVIDIA Network Bus Enumerator) - C:\WINDOWS\system32\drivers\nvnetbus.sys
3S Runtime - C:\WINDOWS\System32\runtime.sys (not found)
3S usbccgp (Microsoft Standard-USB-Haupttreiber) - C:\WINDOWS\system32\drivers\usbccgp.sys
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\system32\drivers\usbehci.sys
3R usbohci (Miniporttreiber für Microsoft USB Open Host-Controller) - C:\WINDOWS\system32\drivers\usbohci.sys
3S usbprint (Microsoft USB-Druckerklasse) - C:\WINDOWS\system32\drivers\usbprint.sys
3S usbscan (USB-Scannertreiber) - C:\WINDOWS\system32\drivers\usbscan.sys
3R USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\USBSTOR.SYS
-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
2R AntiVirScheduler (AntiVir Scheduler) - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
2R AntiVirService (AntiVir PersonalEdition Classic Service) - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
2R Ati HotKey Poller - C:\WINDOWS\system32\Ati2evxx.exe
2S ATI Smart - C:\WINDOWS\system32\ati2sgag.exe
2R CCALib8 (Canon Camera Access Library 8) - C:\Programme\Canon\CAL\CALMAIN.exe
3S GDCX - C:\DOKUME~1\Evelyn\LOKALE~1\Temp\GDCX.exe
3S IDriverT (InstallDriver Table Manager) - "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe"
3S Pml Driver HPZ12 - C:\WINDOWS\system32\HPZipm12.exe
3S XRONHIYSFNVV - C:\DOKUME~1\Evelyn\LOKALE~1\Temp\XRONHIYSFNVV.exe
-- Scheduled Tasks --------------------------------------------------------------
2006-03-05 13:41:10 336 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1133003566.job<FRUTAS~1.JOB>
-- Files created between 2007-02-04 and 2007-03-04 ------------------------------
2007-03-04 14:35:10 0 d-------- C:\CleanUp!
2007-03-02 19:11:49 0 d-------- C:\CheckEvi
2007-02-26 05:48:57 28160 --a------ C:\WINDOWS\system32\wsys.dll
2007-02-25 15:47:22 23552 --a------ C:\WINDOWS\jgoj5xuc.exe
2007-02-05 19:29:18 0 d-------- C:\Programme\MySpace
-- Find3M Report ----------------------------------------------------------------
2007-03-04 14:45:58 1917335 --a------ C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\CleanUp!.log
2007-02-26 17:35:22 507392 --a------ C:\WINDOWS\system32\winlogon.exe
2007-02-05 19:29:20 0 d-------- C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace
2007-01-29 16:59:51 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1>
2007-01-22 19:16:26 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1>
-- Registry Dump ----------------------------------------------------------------
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"HijackThis startup scan"="C:\\CheckHJ\\HijackThis.exe /startupscan"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\Dragdiag.exe\" /icon"
"jservice"="C:\\Programme\\AonInformer\\informer.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"=""
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"SystemManager"="C:\\WINDOWS\\system32\\d2d8.exe"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
-- End of ComboScan: finished at 2007-03-04 at 14:51:59 -------------------------
DatFind-Logs:
System32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680
Verzeichnis von C:\WINDOWS\system32
04.03.2007 14:34 1.606 PerfStringBackup.TMP
04.03.2007 14:30 2.422 wpa.dbl
02.03.2007 18:52 4.864 runtime.sys.vir
27.02.2007 19:38 2.422 wpa.bak
26.02.2007 17:35 507.392 winlogon.exe
26.02.2007 17:35 28.160 wsys.dll
10.08.2006 18:21 1.115.704 O2CPlayer.OCX
19.06.2006 20:16 57.384 avsda.dll
systemtemp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680
Verzeichnis von C:\DOKUME~1\Evelyn\LOKALE~1\Temp
04.03.2007 14:30 16.384 ~DF6BEC.tmp
04.03.2007 14:30 16.384 ~DFC5E4.tmp
windows.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680
Verzeichnis von C:\WINDOWS
04.03.2007 14:30 0 0.log
04.03.2007 14:30 1.817.851 WindowsUpdate.log
04.03.2007 14:30 159 wiadebug.log
04.03.2007 14:30 50 wiaservc.log
04.03.2007 14:30 2.048 bootstat.dat
02.03.2007 20:56 32.630 SchedLgU.Txt
02.03.2007 19:31 513.890 setupapi.log
27.02.2007 19:38 916.984 setuplog.txt
25.02.2007 15:47 23.552 jgoj5xuc.exe
25.02.2007 13:31 1.280 IE4 Error Log.txt
25.02.2007 12:17 1.409 QTFont.for
25.02.2007 12:17 54.156 QTFont.qfn
25.02.2007 11:53 68 DVDIdlePro.INI
24.02.2007 13:06 116 NeroDigital.ini
23.02.2007 20:28 14.335 wmsetup.log
24.01.2007 19:33 7.680 Thumbs.db
03.01.2007 22:45 0 iplayer.INI
02.01.2007 18:06 174.454 setupact.log
17.12.2006 00:01 17 Missing.ini
10.08.2006 18:24 8.192 o2cLicStore.bin
temp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680
Verzeichnis von C:\WINDOWS\Temp
04.03.2007 14:30 5.632 wuauclt.exe
14.06.2005 11:36 77.824 soundman.exe
14.06.2005 11:35 9.409.024 RTLCPL.exe
14.06.2005 11:29 18.743.296 alsndmgr.cpl
14.06.2005 11:10 2.322.944 alcxwdm.sys
down.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680
Verzeichnis von C:\WINDOWS\Downloaded Program Files
17.03.2006 17:24 379 ImageUploader3.inf
07.03.2006 13:20 499 OSD1A1A.OSD
c.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680
Verzeichnis von C:\
04.03.2007 15:00 0 sys.txt
04.03.2007 15:00 1.291.845.632 pagefile.sys
04.03.2007 14:59 616 down.txt
04.03.2007 14:59 2.233 tmp.txt
04.03.2007 14:58 7.334 system.txt
04.03.2007 14:57 342 systemtemp.txt
04.03.2007 14:56 92.695 system32.txt
25.02.2007 15:48 977 as.txt
08.02.2007 16:26 519 hpfr3420.xml
08.02.2007 16:26 24.099 hpfr3425.log
Onlinescan der wcault.exe aus dem Verzeichnis Temp (Virustotal):
Antivirus Version Update Result
AntiVir 7.3.1.38 03.04.2007 no virus found
Authentium 4.93.8 03.04.2007 W32/Downloader.BEOR
Avast 4.7.936.0 03.03.2007 no virus found
AVG 7.5.0.447 03.04.2007 Downloader.Generic3.URH
BitDefender 7.2 03.04.2007 no virus found
CAT-QuickHeal 9.00 03.02.2007 no virus found
ClamAV devel-20060426 03.04.2007 no virus found
DrWeb 4.33 03.04.2007 BackDoor.Bulknet
eSafe 7.0.14.0 03.04.2007 no virus found
eTrust-Vet 30.6.3449 03.03.2007 Win32/Cutwail!generic
Ewido 4.0 03.04.2007 Downloader.Small.ego
FileAdvisor 1 03.04.2007 no virus found
Fortinet 2.85.0.0 03.04.2007 suspicious
F-Prot 4.3.1.45 03.04.2007 W32/Downloader.BEOR
F-Secure 6.70.13030.0 03.03.2007 Trojan-Downloader.Win32.Small.ego
Ikarus T3.1.1.3 03.04.2007 Backdoor.Bulknet
Kaspersky 4.0.2.24 03.04.2007 Trojan-Downloader.Win32.Small.ego
McAfee 4975 03.02.2007 no virus found
Microsoft 1.2204 03.04.2007 no virus found
NOD32v2 2094 03.04.2007 Win32/Wigon.J
Norman 5.80.02 03.02.2007 no virus found
Panda 9.0.0.4 03.04.2007 Trj/LastGood.A
Prevx1 V2 03.04.2007 Malware
Sophos 4.14.0 03.03.2007 no virus found
Sunbelt 2.2.907.0 03.01.2007 no virus found
Symantec 10 03.04.2007 Downloader
TheHacker 6.1.6.067 03.01.2007 no virus found
UNA 1.83 03.02.2007 no virus found
VBA32 3.11.2 03.03.2007 BackDoor.Bulknet
VirusBuster 4.3.19:9 03.04.2007 no virus found
Aditional Information
File size: 5632 bytes
MD5: 286cc3eb29db1e7f5c23e1a8ee81e79a
SHA1: f0e95d675fc2fce63e5cbb37215a63db7c945a7b
Prevx info: WUAUCLT.EXE Spyware Remove
Vielen Dank im Voraus für Eure Hilfe,
Billy