Trojaner RKit.Agent.DW.1 und infizierte wuauclt.exe

Thema ist geschlossen!
Thema ist geschlossen!
#0
04.03.2007, 17:37
Member

Beiträge: 11
#1 Hallo,

meine Schwester hat sich auf ihrem Computer oben genanntes Rootkit eingefangen. AntiVir hat es erkannt, wir haben inzwischen von dem Ding angelegte Datei runtime.sys gelöscht und die infizierte winlogon.exe von der Installations-CD neu installiert. Es scheint aber so, als wäre da noch so ein Fiesling in der wuauclt.exe (von der gibt es nämlich auch eine Kopie in Windows/Temp, wo sie ja nicht zu suchen hat). Ein Online-Scan der Datei hat das bestätigt. Jetzt frage ich mich natürlich, ob da noch mehr ist.

Hier die diversen Scans:

Comboscan:

ComboScan v20070226.18 run by *** on 2007-03-04 at 14:48:17
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Successfully created restore point.
Performed disk cleanup.


-- HijackThis (run as CheckHJ.com) -----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 14:50:02, on 04.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AonInformer\informer.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\TEMP\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Rootkit\comboscan.exe
C:\CheckHJ\CheckHJ.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [HijackThis startup scan] C:\CheckEvi\HijackThis.exe /startupscan
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://ppol.web-album.at/upload_pro/ImageUploader3.cab
O16 - DPF: {A91DEB0D-AD0D-453E-9AC8-60178EC24212} (VPlayer Control) - http://www.sonypictures.com/movies/davincicode/vividas/player/vivid_ocx.jpeg
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/IPSUploader.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: GDCX - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\GDCX.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: XRONHIYSFNVV - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\XRONHIYSFNVV.exe (file missing)


-- File Associations ------------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

1R AFS2K - C:\WINDOWS\system32\drivers\AFS2K.SYS
3R alcan5wn (Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN)) - C:\WINDOWS\system32\drivers\alcan5wn.sys
3R alcaudsl (Alcatel Speed Touch ADSL Modem ATM Transport) - C:\WINDOWS\system32\drivers\alcaudsl.sys
3R ALCXWDM (Service for Realtek AC97 Audio (WDM)) - C:\WINDOWS\system32\drivers\ALCXWDM.SYS
1R AmdK8 (AMD Athlon64-Prozessortreiber) - C:\WINDOWS\system32\drivers\AmdK8.sys
3R ati2mtag - C:\WINDOWS\system32\drivers\ati2mtag.sys
1R avgntdd - C:\WINDOWS\system32\drivers\avgntdd.sys
0R avgntmgr - C:\WINDOWS\system32\drivers\avgntmgr.sys
1S EXAMPLE - C:\WINDOWS\system32\main.sys (not found)
3S HPZid412 (IEEE-1284.4 Driver HPZid412) - C:\WINDOWS\system32\drivers\hpzid412.sys
3S HPZipr12 (Print Class Driver for IEEE-1284.4 HPZipr12) - C:\WINDOWS\system32\drivers\HPZipr12.sys
3S HPZius12 (USB to IEEE-1284.4 Translation Driver HPZius12) - C:\WINDOWS\system32\drivers\HPZius12.sys
3R ms_mpu401 (Microsoft MPU-401 MIDI UART-Treiber) - C:\WINDOWS\system32\drivers\msmpu401.sys
3R MTsensor (ATK0110 ACPI UTILITY) - C:\WINDOWS\system32\drivers\ASACPI.sys
0R nvatabus - C:\WINDOWS\system32\drivers\nvatabus.sys
3R NVENETFD (NVIDIA nForce Networking Controller Driver) - C:\WINDOWS\system32\drivers\NVENETFD.sys
3R nvnetbus (NVIDIA Network Bus Enumerator) - C:\WINDOWS\system32\drivers\nvnetbus.sys
3S Runtime - C:\WINDOWS\System32\runtime.sys (not found)
3S usbccgp (Microsoft Standard-USB-Haupttreiber) - C:\WINDOWS\system32\drivers\usbccgp.sys
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\system32\drivers\usbehci.sys
3R usbohci (Miniporttreiber für Microsoft USB Open Host-Controller) - C:\WINDOWS\system32\drivers\usbohci.sys
3S usbprint (Microsoft USB-Druckerklasse) - C:\WINDOWS\system32\drivers\usbprint.sys
3S usbscan (USB-Scannertreiber) - C:\WINDOWS\system32\drivers\usbscan.sys
3R USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\USBSTOR.SYS


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

2R AntiVirScheduler (AntiVir Scheduler) - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
2R AntiVirService (AntiVir PersonalEdition Classic Service) - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
2R Ati HotKey Poller - C:\WINDOWS\system32\Ati2evxx.exe
2S ATI Smart - C:\WINDOWS\system32\ati2sgag.exe
2R CCALib8 (Canon Camera Access Library 8) - C:\Programme\Canon\CAL\CALMAIN.exe
3S GDCX - C:\DOKUME~1\Evelyn\LOKALE~1\Temp\GDCX.exe
3S IDriverT (InstallDriver Table Manager) - "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe"
3S Pml Driver HPZ12 - C:\WINDOWS\system32\HPZipm12.exe
3S XRONHIYSFNVV - C:\DOKUME~1\Evelyn\LOKALE~1\Temp\XRONHIYSFNVV.exe


-- Scheduled Tasks --------------------------------------------------------------

2006-03-05 13:41:10 336 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1133003566.job<FRUTAS~1.JOB>


-- Files created between 2007-02-04 and 2007-03-04 ------------------------------

2007-03-04 14:35:10 0 d-------- C:\CleanUp!
2007-03-02 19:11:49 0 d-------- C:\CheckEvi
2007-02-26 05:48:57 28160 --a------ C:\WINDOWS\system32\wsys.dll
2007-02-25 15:47:22 23552 --a------ C:\WINDOWS\jgoj5xuc.exe
2007-02-05 19:29:18 0 d-------- C:\Programme\MySpace


-- Find3M Report ----------------------------------------------------------------

2007-03-04 14:45:58 1917335 --a------ C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\CleanUp!.log
2007-02-26 17:35:22 507392 --a------ C:\WINDOWS\system32\winlogon.exe
2007-02-05 19:29:20 0 d-------- C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace
2007-01-29 16:59:51 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1>
2007-01-22 19:16:26 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1>


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"HijackThis startup scan"="C:\\CheckHJ\\HijackThis.exe /startupscan"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\Dragdiag.exe\" /icon"
"jservice"="C:\\Programme\\AonInformer\\informer.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"SystemManager"="C:\\WINDOWS\\system32\\d2d8.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



-- End of ComboScan: finished at 2007-03-04 at 14:51:59 -------------------------

DatFind-Logs:

System32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680

Verzeichnis von C:\WINDOWS\system32

04.03.2007 14:34 1.606 PerfStringBackup.TMP
04.03.2007 14:30 2.422 wpa.dbl
02.03.2007 18:52 4.864 runtime.sys.vir
27.02.2007 19:38 2.422 wpa.bak
26.02.2007 17:35 507.392 winlogon.exe
26.02.2007 17:35 28.160 wsys.dll
10.08.2006 18:21 1.115.704 O2CPlayer.OCX
19.06.2006 20:16 57.384 avsda.dll

systemtemp.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680

Verzeichnis von C:\DOKUME~1\Evelyn\LOKALE~1\Temp

04.03.2007 14:30 16.384 ~DF6BEC.tmp
04.03.2007 14:30 16.384 ~DFC5E4.tmp

windows.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680

Verzeichnis von C:\WINDOWS

04.03.2007 14:30 0 0.log
04.03.2007 14:30 1.817.851 WindowsUpdate.log
04.03.2007 14:30 159 wiadebug.log
04.03.2007 14:30 50 wiaservc.log
04.03.2007 14:30 2.048 bootstat.dat
02.03.2007 20:56 32.630 SchedLgU.Txt
02.03.2007 19:31 513.890 setupapi.log
27.02.2007 19:38 916.984 setuplog.txt
25.02.2007 15:47 23.552 jgoj5xuc.exe
25.02.2007 13:31 1.280 IE4 Error Log.txt
25.02.2007 12:17 1.409 QTFont.for
25.02.2007 12:17 54.156 QTFont.qfn
25.02.2007 11:53 68 DVDIdlePro.INI
24.02.2007 13:06 116 NeroDigital.ini
23.02.2007 20:28 14.335 wmsetup.log
24.01.2007 19:33 7.680 Thumbs.db
03.01.2007 22:45 0 iplayer.INI
02.01.2007 18:06 174.454 setupact.log
17.12.2006 00:01 17 Missing.ini
10.08.2006 18:24 8.192 o2cLicStore.bin

temp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680

Verzeichnis von C:\WINDOWS\Temp

04.03.2007 14:30 5.632 wuauclt.exe
14.06.2005 11:36 77.824 soundman.exe
14.06.2005 11:35 9.409.024 RTLCPL.exe
14.06.2005 11:29 18.743.296 alsndmgr.cpl
14.06.2005 11:10 2.322.944 alcxwdm.sys

down.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.03.2006 17:24 379 ImageUploader3.inf
07.03.2006 13:20 499 OSD1A1A.OSD

c.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4FB-8680

Verzeichnis von C:\

04.03.2007 15:00 0 sys.txt
04.03.2007 15:00 1.291.845.632 pagefile.sys
04.03.2007 14:59 616 down.txt
04.03.2007 14:59 2.233 tmp.txt
04.03.2007 14:58 7.334 system.txt
04.03.2007 14:57 342 systemtemp.txt
04.03.2007 14:56 92.695 system32.txt
25.02.2007 15:48 977 as.txt
08.02.2007 16:26 519 hpfr3420.xml
08.02.2007 16:26 24.099 hpfr3425.log

Onlinescan der wcault.exe aus dem Verzeichnis Temp (Virustotal):

Antivirus Version Update Result
AntiVir 7.3.1.38 03.04.2007 no virus found
Authentium 4.93.8 03.04.2007 W32/Downloader.BEOR
Avast 4.7.936.0 03.03.2007 no virus found
AVG 7.5.0.447 03.04.2007 Downloader.Generic3.URH
BitDefender 7.2 03.04.2007 no virus found
CAT-QuickHeal 9.00 03.02.2007 no virus found
ClamAV devel-20060426 03.04.2007 no virus found
DrWeb 4.33 03.04.2007 BackDoor.Bulknet
eSafe 7.0.14.0 03.04.2007 no virus found
eTrust-Vet 30.6.3449 03.03.2007 Win32/Cutwail!generic
Ewido 4.0 03.04.2007 Downloader.Small.ego
FileAdvisor 1 03.04.2007 no virus found
Fortinet 2.85.0.0 03.04.2007 suspicious
F-Prot 4.3.1.45 03.04.2007 W32/Downloader.BEOR
F-Secure 6.70.13030.0 03.03.2007 Trojan-Downloader.Win32.Small.ego
Ikarus T3.1.1.3 03.04.2007 Backdoor.Bulknet
Kaspersky 4.0.2.24 03.04.2007 Trojan-Downloader.Win32.Small.ego
McAfee 4975 03.02.2007 no virus found
Microsoft 1.2204 03.04.2007 no virus found
NOD32v2 2094 03.04.2007 Win32/Wigon.J
Norman 5.80.02 03.02.2007 no virus found
Panda 9.0.0.4 03.04.2007 Trj/LastGood.A
Prevx1 V2 03.04.2007 Malware
Sophos 4.14.0 03.03.2007 no virus found
Sunbelt 2.2.907.0 03.01.2007 no virus found
Symantec 10 03.04.2007 Downloader
TheHacker 6.1.6.067 03.01.2007 no virus found
UNA 1.83 03.02.2007 no virus found
VBA32 3.11.2 03.03.2007 BackDoor.Bulknet
VirusBuster 4.3.19:9 03.04.2007 no virus found


Aditional Information
File size: 5632 bytes
MD5: 286cc3eb29db1e7f5c23e1a8ee81e79a
SHA1: f0e95d675fc2fce63e5cbb37215a63db7c945a7b
Prevx info: WUAUCLT.EXE Spyware Remove

Vielen Dank im Voraus für Eure Hilfe,

Billy
Seitenanfang Seitenende
04.03.2007, 17:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\policies\explorer\Run|SystemManager

drivers to unload:
Runtime
EXAMPLE

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Runtime
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Runtime
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Runtime
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_RUNTIME
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\LEGACY_RUNTIME
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNTIME
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\EXAMPLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EXAMPLE

Files to delete:
C:\WINDOWS\jgoj5xuc.exe
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\d2d8.exe
C:\WINDOWS\system32\runtime.sys.vir
C:\WINDOWS\system32\wsys.dll
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Temp\wuauclt.exe

Download TrendMicro's Rootkit Buster - Double-click RootkitBuster.exe - TMRB.Log
http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip


---------

http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.03.2007, 23:09
Member

Themenstarter

Beiträge: 11
#3 Vielen Dank für die Tipps!

Ich habe den Avenger laufen lassen. Hier die beiden gewünschten Log-files:

RootkitBuster:


SDFix: Version 1.69

Run by Evelyn - 05.03.2007 @ 19:04:45,32

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix\SDFix

Safe Mode:
Checking Services:

Path:



Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\as.txt - Deleted
C:\WINDOWS\regedit.com - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Bilderland\\CChat.exe"="C:\\Bilderland\\CChat.exe:*:Enabled:Microsoft Chat"
"C:\\Programme\\Spiele\\Kyodai Mahjongg\\kmj.exe"="C:\\Programme\\Spiele\\Kyodai Mahjongg\\kmj.exe:*:Disabled:kmj"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :


Add/Remove Programs List:

1st Page 2000 2.00 Free
ATI - Software Uninstall Utility
Avira AntiVir PersonalEdition Classic
ATI Display Driver
Canon Camera Access Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
CleanUp!
Microsoft Chat 2.5
Canon Camera Support Core Library
Canon Utilities Digital Photo Professional 2.2
Canon Utilities EOS Utility
ffdshow
FileZilla (remove only)
Flock (Photobucket Edition) 0.7
HijackThis 1.99.1
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
ICQ 5.1
QuickTime
InterActual Player
Kyodai Mahjongg
MySpaceIM
Nero 6 Ultra Edition
Nikon FotoShare
NVIDIA Drivers
Canon Utilities PhotoStitch
Canon RAW Image Task for ZoomBrowser EX
Real Alternative 1.44
Canon RemoteCapture Task for ZoomBrowser EX
Adobe Flash Player 9 ActiveX
ICQ Toolbar
VOX 3D Planer
WinRAR archiver
Yahoo! Toolbar
Yahoo! Toolbar
Canon Utilities ZoomBrowser EX
ATI Control Panel
QuickTime
CSI: Dark Motives
Microsoft Works
PowerDVD
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
AonInformer
DiMAGE Viewer
HP Foto- und Bildbearbeitung 2.0 - All-in-One
ArcSoft Panorama Maker 3
Adobe Reader 6.0.1
HP Speicher-Disc
Athlon 64 Processor Driver
hp psc 1200 series
PlexTools Professional V2.23
Nikon Message Center
Alcatel SpeedTouch USB Software
Realtek AC'97 Audio
PictureProject


Danke nochmal,

Billy
Seitenanfang Seitenende
06.03.2007, 08:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report

»»
scanne mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2007, 21:19
Member

Themenstarter

Beiträge: 11
#5 Ich habe gerade gesehen, dass das RootkitBuster-Log nicht ordentlich reinkopiert wurde:


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.


Sophos report:

Password protected file C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\Adobe\Acrobat\6.0\Messages\ENU\read0600win_ENUadbe0062q.pdf
Password protected file C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\Adobe\Acrobat\6.0\Messages\ENU\read0600win_ENUyhoo0014q.pdf
Password protected file C:\Programme\Adobe\Acrobat 6.0\Reader\Messages\ENU\RdrMsgENU.pdf

1 boot sector swept.
22188 files swept in 59 minutes and 55 seconds.
3 errors were encountered.
No viruses were discovered.
3 encrypted files were not checked.
Ending Sophos Anti-Virus.

Kaspersky-Report:

Dienstag, 6. März 2007 21:23:16
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 6/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 261607


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 46228
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:45:52

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace\IM\Logs\MySpaceIM-Network-20070306-192945.log Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace\IM\Logs\MySpaceIm_03-06-2007-19-29-40-0843.log Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DF34F.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DF5D53.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DFC7C8.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DFE417.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DFE420.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007030620070307\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Evelyn\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{D255FC8F-CA50-4635-99EB-E1FD505652E8}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


Danke,Billy
Dieser Beitrag wurde am 06.03.2007 um 21:30 Uhr von PCBil editiert.
Seitenanfang Seitenende
06.03.2007, 23:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 poste bitte noch mal das log von comboscan
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2007, 22:31
Member

Themenstarter

Beiträge: 11
#7 ComboScan v20070226.18 run by Evelyn on 2007-03-07 at 18:50:32
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as CheckHJ.exe) -----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:50:35, on 07.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\Dragdiag.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AonInformer\informer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\CheckEvi\comboscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\CheckHJ\CheckHJn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://ppol.web-album.at/upload_pro/ImageUploader3.cab
O16 - DPF: {A91DEB0D-AD0D-453E-9AC8-60178EC24212} (VPlayer Control) - http://www.sonypictures.com/movies/davincicode/vividas/player/vivid_ocx.jpeg
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/IPSUploader.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


-- Files created between 2007-02-07 and 2007-03-07 ------------------------------

2007-03-06 20:09:51 0 d-------- C:\SAV32CLI
2007-03-06 20:08:26 0 d-------- C:\WINDOWS\system32\Kaspersky Lab<KASPER~1>
2007-03-06 19:49:12 0 dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten<FAVORI~1>
2007-03-05 19:11:49 153600 --a------ C:\WINDOWS\REGEDIT.COM
2007-03-05 18:59:35 0 d-------- C:\SDFix
2007-03-05 18:57:36 102800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-03-05 18:57:02 124696 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-03-05 18:53:07 0 d-------- C:\avenger
2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\zts2.exe
2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\rundll16.exe
2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\rundl132.dll
2007-03-04 18:29:39 0 d-a------ C:\WINDOWS\logo1_.exe

2007-03-04 18:24:16 0 d-------- C:\WINDOWS\pss
2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\TASKMGR.COM
2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\T.COM
2007-03-04 18:21:37 153600 --a------ C:\WINDOWS\R.COM
2007-03-04 18:18:33 0 d-------- C:\Bases_X
2007-03-04 16:41:57 507392 --a------ C:\WINDOWS\system32\winlogon.exe
2007-03-04 14:35:10 0 d-------- C:\CleanUp!
2007-03-02 19:11:49 0 d-------- C:\CheckHJ


-- Find3M Report ----------------------------------------------------------------

2007-03-06 21:42:06 90612 --a------ C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\CleanUp!.log
2007-02-05 19:29:20 0 d-------- C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace
2007-02-05 19:29:18 0 d-------- C:\Programme\MySpace
2007-01-29 16:59:51 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1>
2007-01-22 19:16:26 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1>


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\Dragdiag.exe\" /icon"
"SoundMan"="SOUNDMAN.EXE"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"jservice"="C:\\Programme\\AonInformer\\informer.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"XRONHIYSFNVV"=dword:00000003
"GDCX"=dword:00000003



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



-- End of ComboScan: finished at 2007-03-07 at 18:50:50 -------------------------

Danke
Billy
Seitenanfang Seitenende
07.03.2007, 22:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
Info:
http://virus-protect.org/artikel/spyware/rundl132_dll.html

««
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

Folders to delete:
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

poste den report vom avenger nach neustart

««
Hoster.zip - HostsXpert
http://www.funkytoad.com/download/HostsXpert.zip
Press 'Restore Microstoft's Hosts File' and press 'OK'
Exit Program.

««
poste das log Supplementary.txt + noch mal ComboScan.txt
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2007, 21:05
Member

Themenstarter

Beiträge: 11
#9 Das Avenger-Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mnsldpxo

*******************

Script file located at: \??\C:\WINDOWS\ttglinpu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Error: C:\WINDOWS\system32\vcmgcd32.dll is a folder, not a file!
Deletion of file C:\WINDOWS\system32\vcmgcd32.dll failed!

Could not process line:
C:\WINDOWS\system32\vcmgcd32.dll
Status: 0xc00000ba



Error: C:\WINDOWS\zts2.exe is a folder, not a file!
Deletion of file C:\WINDOWS\zts2.exe failed!

Could not process line:
C:\WINDOWS\zts2.exe
Status: 0xc00000ba



Error: C:\WINDOWS\system32\iifgfgf.dll is a folder, not a file!
Deletion of file C:\WINDOWS\system32\iifgfgf.dll failed!

Could not process line:
C:\WINDOWS\system32\iifgfgf.dll
Status: 0xc00000ba



Error: C:\WINDOWS\logo1_.exe is a folder, not a file!
Deletion of file C:\WINDOWS\logo1_.exe failed!

Could not process line:
C:\WINDOWS\logo1_.exe
Status: 0xc00000ba



Error: C:\WINDOWS\rundl132.dll is a folder, not a file!
Deletion of file C:\WINDOWS\rundl132.dll failed!

Could not process line:
C:\WINDOWS\rundl132.dll
Status: 0xc00000ba

File C:\WINDOWS\system32\wuauclt.exe deleted successfully.


Error: C:\WINDOWS\rundll16.exe is a folder, not a file!
Deletion of file C:\WINDOWS\rundll16.exe failed!

Could not process line:
C:\WINDOWS\rundll16.exe
Status: 0xc00000ba

Folder C:\WINDOWS\zts2.exe deleted successfully.
Folder C:\WINDOWS\system32\vcmgcd32.dll deleted successfully.
Folder C:\WINDOWS\system32\iifgfgf.dll deleted successfully.
Folder C:\WINDOWS\logo1_.exe deleted successfully.
Folder C:\WINDOWS\rundl132.dll deleted successfully.
Folder C:\WINDOWS\rundll16.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


-------------------------------


Combuscan-Log:

ComboScan v20070226.18 run by Evelyn on 2007-03-08 at 18:25:29
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Evelyn.exe) -----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:25:34, on 08.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\Dragdiag.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AonInformer\informer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\CheckEvi\comboscan.exe
C:\CheckEvi\Evelyn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://ppol.web-album.at/upload_pro/ImageUploader3.cab
O16 - DPF: {A91DEB0D-AD0D-453E-9AC8-60178EC24212} (VPlayer Control) - http://www.sonypictures.com/movies/davincicode/vividas/player/vivid_ocx.jpeg
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/defaults/activex/IPSUploader.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


-- Files created between 2007-02-08 and 2007-03-08 ------------------------------

2007-03-08 17:45:44 0 d-------- C:\avenger
2007-03-06 20:09:51 0 d-------- C:\SAV32CLI
2007-03-06 20:08:26 0 d-------- C:\WINDOWS\system32\Kaspersky Lab<KASPER~1>
2007-03-06 19:49:12 0 dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten<FAVORI~1>
2007-03-05 19:11:49 153600 --a------ C:\WINDOWS\REGEDIT.COM
2007-03-05 18:59:35 0 d-------- C:\SDFix
2007-03-05 18:57:36 102800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-03-04 18:24:16 0 d-------- C:\WINDOWS\pss
2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\TASKMGR.COM
2007-03-04 18:21:37 140800 --a------ C:\WINDOWS\system32\T.COM
2007-03-04 18:21:37 153600 --a------ C:\WINDOWS\R.COM
2007-03-04 18:18:33 0 d-------- C:\Bases_X
2007-03-04 16:41:57 507392 --a------ C:\WINDOWS\system32\winlogon.exe
2007-03-04 14:35:10 0 d-------- C:\CleanUp!
2007-03-02 19:11:49 0 d-------- C:\CheckEvi


-- Find3M Report ----------------------------------------------------------------

2007-03-07 18:57:09 0 d-------- C:\Programme\ICQLite
2007-03-06 21:42:06 90612 --a------ C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\CleanUp!.log
2007-02-05 19:29:20 0 d-------- C:\Dokumente und Einstellungen\Evelyn\Anwendungsdaten\MySpace
2007-02-05 19:29:18 0 d-------- C:\Programme\MySpace
2007-01-29 16:59:51 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1>
2007-01-22 19:16:26 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1>


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\Dragdiag.exe\" /icon"
"SoundMan"="SOUNDMAN.EXE"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"jservice"="C:\\Programme\\AonInformer\\informer.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"XRONHIYSFNVV"=dword:00000003
"GDCX"=dword:00000003


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"MySpaceIM"="C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



-- End of ComboScan: finished at 2007-03-08 at 18:25:51 -------------------------

Seitenanfang Seitenende
09.03.2007, 01:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2007, 19:31
Member

Themenstarter

Beiträge: 11
#11 The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Mär 9, 2007 19:12:48


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1416
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: Echtzeit Virenschutz durch H+BEDV AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1428
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: CCALib8
Display Name: Canon Camera Access Library 8
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\canon\cal\calmain.exe
State: Running
Process ID: 1884
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #5
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{75441c62-a1c5-4d5e-9f5b-520b57548b7e}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 83 Win32 services on this machine.
5 were unrecognized.

Script Execution Time: 1,421875 seconds.


Danke,
Billy
Seitenanfang Seitenende
10.03.2007, 01:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

XRONHIYSFNVV

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

GDCX

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

»»»»»»»»»»»

scanne mit Scan F-secure/ Online und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2007, 11:46
Member

Themenstarter

Beiträge: 11
#13 RegSearch XRONHIYSFNVV:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 10.03.2007 11:40:45 for strings:
; 'xronhiysfnvv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]
"XRONHIYSFNVV"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV\0000]
"Service"="XRONHIYSFNVV"
"DeviceDesc"="XRONHIYSFNVV"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV\0000]
"Service"="XRONHIYSFNVV"
"DeviceDesc"="XRONHIYSFNVV"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV\0000]
"Service"="XRONHIYSFNVV"
"DeviceDesc"="XRONHIYSFNVV"

; End Of The Log...

RegSearch GDCX:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 10.03.2007 11:42:39 for strings:
; 'gdcx'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]
"GDCX"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX\0000]
"Service"="GDCX"
"DeviceDesc"="GDCX"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX\0000]
"Service"="GDCX"
"DeviceDesc"="GDCX"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX\0000]
"Service"="GDCX"
"DeviceDesc"="GDCX"

; End Of The Log...



F-Secure Online Scan:

Scanning Report
Saturday, March 10, 2007 11:51:31 - 12:23:02
Computer name: EVELYN-86BBC9AD
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\


--------------------------------------------------------------------------------

Result: 8 malware found
Tracking Cookie (spyware)
System (Disinfected)
System
System
System (Submitted)
System
System
System
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 22568
System: 3883
Not scanned: 2
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 7
Submitted: 1
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-03-08
F-Secure AVP: 7.0.171, 2007-03-09
F-Secure Orion: 1.2.37, 2007-03-09
F-Secure Blacklight: 1.0.53, 0000-00-00
F-Secure Draco: 1.0.35, 0260-02-44
F-Secure Pegasus: 1.19.0, 2007-02-06
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics

Als er die Tracking-Cookies desinfizieren wollte, hat das Programm gestoppt, deshalb habe ich die Aktion abgebrochen und die Cookies manuell entfernt.


Danke,
Billy
Dieser Beitrag wurde am 10.03.2007 um 12:25 Uhr von PCBil editiert.
Seitenanfang Seitenende
10.03.2007, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

drivers to unload:
XRONHIYSFNVV
GDCX

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services|XRONHIYSFNVV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services|GDCX

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV

Files to delete:
C:\WINDOWS\TEMP\wuauclt.exe
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\XRONHIYSFNVV.exe
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\GDCX.exe
»»
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2007, 19:33
Member

Themenstarter

Beiträge: 11
#15 Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pbislblh

*******************

Script file located at: \??\C:\WINDOWS\uhibqldd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key \Registry\Machine\System\CurrentControlSet\Services\XRONHIYSFNVV not found!
Unload of driver XRONHIYSFNVV failed!

Could not process line:
XRONHIYSFNVV
Status: 0xc0000034



Registry key \Registry\Machine\System\CurrentControlSet\Services\GDCX not found!
Unload of driver GDCX failed!

Could not process line:
GDCX
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GDCX deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GDCX deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GDCX
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XRONHIYSFNVV deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XRONHIYSFNVV deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XRONHIYSFNVV
Status: 0xc0000034



File C:\WINDOWS\TEMP\wuauclt.exe not found!
Deletion of file C:\WINDOWS\TEMP\wuauclt.exe failed!

Could not process line:
C:\WINDOWS\TEMP\wuauclt.exe
Status: 0xc0000034

File C:\WINDOWS\system32\wuauclt1.exe deleted successfully.


File C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\XRONHIYSFNVV.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\XRONHIYSFNVV.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\XRONHIYSFNVV.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\GDCX.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\GDCX.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\GDCX.exe
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services|XRONHIYSFNVV deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services|GDCX deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Dr Web:

[Prüfpfad] C:\
C:\Dokumente und Einstellungen\Evelyn\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Evelyn\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Evelyn\Lokale Einstellungen\Temp\~DF50D0.tmp - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Programme\AonInformer\informer.exe infiziert mit einer Modifikation Win32.HLLM.Generic.308 - verschoben
C:\SDFix\SDFix\apps\Process.exe ist ein Hacktool Tool.Prockill
C:\System Volume Information\_restore{AE9DFFAA-5F10-4299-AEC1-7E2E9F8AA1B8}\RP2\A0004230.exe infiziert mit einer Modifikation Win32.HLLM.Generic.308 - verschoben
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\software - Lesefehler
C:\WINDOWS\system32\config\software.LOG - Lesefehler
C:\WINDOWS\system32\config\system - Lesefehler
C:\WINDOWS\system32\config\system.LOG - Lesefehler

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 75032
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 2
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 2
Ignorierte Objekte: 0
Leistung:: 959 Kb/s
Dauer:: 00:56:32
-----------------------------------------------------------------------------

C:\SDFix\SDFix\apps\Process.exe - nicht desinfizierbar - verschoben

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 75312
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 3
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 4
Ignorierte Objekte: 0
Leistung:: 975 Kb/s
Dauer:: 00:56:55
=============================================================================

Danke,
Billy
Seitenanfang Seitenende