Win32/malum.addl

#1 Hallo,
auf meinem Laptop ist die Antivirensoftware "etrust Antivirus" installiert und meldet öfter folgendes:

'Win32/Malum.ADDL' wurde in C:\WINDOWS\SYSTEM32\WINAD2.DLL entdeckt.
Computer: *, Benutzer: *\Büro.
Dateistatus: Bereinigung fehlgeschlagen; Datei wurde wiederhergestellt.

Normalerweise startet man ja den PC im abgesicherten Modus und lässt dort die Antivirensoftware arbeiten. Leider handelt es sich hierbei um einen Laptop, dessen Tastatur (sowie die zusätzliche externe Tastatur) reagieren jedoch nicht im Menu wo man Abgesicherter Modus auswählen würde.

Hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:35:54, on 15.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLI~1\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Büro\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163133826598
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://80.34.53.107:81//activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A5A7DF0-DEC5-4E11-9424-C329241F121B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E817BE87-96C6-434B-BEDC-B87F76D8B922}: NameServer = 217.237.150.205 217.237.150.188
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A5A7DF0-DEC5-4E11-9424-C329241F121B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A5A7DF0-DEC5-4E11-9424-C329241F121B}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Muss ich die Antivirensoftware wechseln? Ich zahle 30€ im Jahr für etrust :-(

#2 lullaby

««
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
Combofix - Textdatei im Thead posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Start Time= 15.03.2007 14:29:20,63

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-15 14:10:16 266915840 ( A.SH. ) "C:\hiberfil.sys"
2007-03-15 14:10:14 1048576000 ( A.SH. ) "C:\pagefile.sys"
2007-03-15 13:34:28 ( .D... ) "C:\Programme\CleanUp!"
2007-03-07 12:36:34 12619736 ( A.... ) "C:\WINDOWS\system32\MRT.exe"
2007-02-15 18:01:30 337280 ( ..... ) "C:\WINDOWS\system32\WgaTray.exe"
2007-02-15 18:01:04 1476992 ( A.... ) "C:\WINDOWS\system32\LegitCheckControl.dll"
2007-02-15 18:00:22 236928 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll"
2007-01-30 16:31:52 ( .D... ) "C:\Dokumente und Einstellungen\B�ro\Anwendungsdaten\InstallShield"
2007-01-30 13:16:22 ( .D... ) "C:\Programme\Gemeinsame Dateien\DataDesign"
2007-01-30 13:07:32 ( .D... ) "C:\Programme\Lexware"
2007-01-30 13:03:50 ( .D... ) "C:\Programme\Haufe"
2007-01-29 15:58:06 60416 ( ..... ) "C:\WINDOWS\system32\tzchange.exe"
2007-01-15 09:43:30 ( .D... ) "C:\Dokumente und Einstellungen\B�ro\Anwendungsdaten\Mozilla"
2007-01-15 09:43:04 ( .D... ) "C:\Programme\Mozilla Firefox"
2007-01-06 08:01:26 1776 ( A.... ) "C:\Dokumente und Einstellungen\B�ro\Anwendungsdaten\AdobeDLM.log"
2007-01-06 08:01:26 0 ( A.... ) "C:\Dokumente und Einstellungen\B�ro\Anwendungsdaten\dm.ini"
2007-01-04 21:02:16 474624 ( A.... ) "C:\WINDOWS\system32\shlwapi.dll"
2007-01-04 21:02:12 1498112 ( A.... ) "C:\WINDOWS\system32\shdocvw.dll"
2007-01-04 21:01:52 1056256 ( A.... ) "C:\WINDOWS\system32\danim.dll"
2007-01-04 21:01:48 1022976 ( A.... ) "C:\WINDOWS\system32\browseui.dll"
2007-01-04 21:01:48 152064 ( A.... ) "C:\WINDOWS\system32\cdfview.dll"
2007-01-04 18:52:36 270336 ( A.... ) "C:\WINDOWS\system32\xpsp3res.dll"
2006-12-20 04:49:42 135168 ( A.... ) "C:\WINDOWS\system32\shsvcs.dll"
2006-12-20 04:49:40 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll"
2006-12-20 01:21:34 2182656 ( A.... ) "C:\WINDOWS\system32\ntoskrnl.exe"
2006-12-20 01:21:34 2059904 ( A.... ) "C:\WINDOWS\system32\ntkrnlpa.exe"
2006-12-20 01:17:04 334336 ( A.... ) "C:\WINDOWS\system32\wiaservc.dll"
2002-10-08 12:34:24 892 ( A.... ) "C:\Programme\INSTALL.LOG"


((((((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="LaunApp"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"LTSMMSG"="LTSMMSG.exe"
"Wbutton"="\"C:\\Program Files\\Launch Manager\\Wbutton.exe\""
"LaunchAp"="C:\\Program Files\\Launch Manager\\LaunchAp.exe"
"PowerKey"="\"C:\\Program Files\\Launch Manager\\PowerKey.exe\""
"HotkeyApp"="C:\\Program Files\\Launch Manager\\HotkeyApp.exe"
"CtrlVol"="C:\\Program Files\\Launch Manager\\CtrlVol.exe"
"UniKey"=""
"Share-to-Web Namespace Daemon"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"EM_EXEC"="C:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SysUpd"="C:\\WINDOWS\\System32\\SysUpd.exe"
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Ulead AutoDetector"="C:\\Programme\\Ulead Systems\\Ulead Photo Explorer 8.0 SE Basic\\Monitor.exe"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\
6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mouse32a"
"hkey"="HKLM"
"command"="C:\\Programme\\Browser MOUSE\\mouse32a.exe"
"inimapping"="0"


Contents of the 'Scheduled Tasks' folder

Completion time: 15.03.2007 14:31:23,44
ComboFix ver 06.06.17 - This logfile is located at C:\ComboFix.txt



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50B3-6BC8

Verzeichnis von C:\WINDOWS\system32

15.03.2007 14:27 1.158 wpa.dbl
15.03.2007 14:10 207.304 FNTCACHE.DAT
15.03.2007 13:09 122.142 TZLog.log
07.03.2007 12:36 12.619.736 MRT.exe
15.02.2007 18:01 337.280 WgaTray.exe
15.02.2007 18:01 1.476.992 LegitCheckControl.dll
15.02.2007 18:00 236.928 WgaLogon.dll
30.01.2007 13:22 382.646 perfh009.dat
30.01.2007 13:22 54.390 perfc009.dat
30.01.2007 13:22 393.706 perfh007.dat
30.01.2007 13:22 65.468 perfc007.dat
30.01.2007 13:22 880.860 PerfStringBackup.INI
29.01.2007 15:58 60.416 tzchange.exe
24.01.2007 02:30 546.304 hhctrl.ocx
04.01.2007 21:02 474.624 shlwapi.dll
04.01.2007 21:02 1.498.112 shdocvw.dll
04.01.2007 21:01 1.056.256 danim.dll
04.01.2007 21:01 152.064 cdfview.dll
04.01.2007 21:01 1.022.976 browseui.dll
04.01.2007 18:52 270.336 xpsp3res.dll
20.12.2006 04:49 135.168 shsvcs.dll
20.12.2006 04:49 8.494.592 shell32.dll
20.12.2006 01:21 2.059.904 ntkrnlpa.exe
20.12.2006 01:21 2.182.656 ntoskrnl.exe
20.12.2006 01:17 334.336 wiaservc.dll
07.12.2006 17:02 2.174.976 wmvcore.dll
27.11.2006 21:54 433.152 riched20.dll
27.11.2006 21:54 539.136 msftedit.dll
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
17.11.2006 15:14 16.176 spmsg.dll
08.11.2006 12:06 679.424 inetcomm.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
04.11.2006 14:14 1.245.696 msxml4.dll
02.11.2006 02:17 927.504 mfc40u.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50B3-6BC8

Verzeichnis von C:\DOKUME~1\B�ro\LOKALE~1\Temp

15.03.2007 14:29 16.384 Perflib_Perfdata_64c.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 8.981.921.792 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50B3-6BC8

Verzeichnis von C:\WINDOWS

15.03.2007 14:32 1.366.613 WindowsUpdate.log
15.03.2007 14:32 991 win.ini
15.03.2007 14:31 212.260 setupact.log
15.03.2007 14:11 35.752 spupdsvc.log
15.03.2007 14:11 0 0.log
15.03.2007 14:11 159 wiadebug.log
15.03.2007 14:11 50 wiaservc.log
15.03.2007 14:10 2.048 bootstat.dat
15.03.2007 14:09 32.604 SchedLgU.Txt
15.03.2007 14:01 731.678 iis6.log
15.03.2007 14:01 207.292 comsetup.log
15.03.2007 14:01 126.105 ntdtcsetup.log
15.03.2007 14:01 282.082 tsoc.log
15.03.2007 14:01 28.429 tabletoc.log
15.03.2007 14:01 1.374 imsins.log
15.03.2007 14:01 33.980 ocmsn.log
15.03.2007 14:01 94.465 KB929338.log
15.03.2007 14:01 302.068 ocgen.log
15.03.2007 14:01 41.111 medctroc.Log
15.03.2007 14:01 30.332 msgsocm.log
15.03.2007 14:01 98.861 netfxocm.log
15.03.2007 14:01 624.857 FaxSetup.log
15.03.2007 14:01 198.116 msmqinst.log
15.03.2007 13:59 28.163 ie7_main.log
15.03.2007 13:58 1.374 imsins.BAK
15.03.2007 13:58 92.413 ie7.log
15.03.2007 13:55 48.624 updspapi.log
15.03.2007 13:49 52.134 IDNMitigationAPIs.log
15.03.2007 13:49 614 avmcoins.log
15.03.2007 13:48 748.701 setupapi.log
15.03.2007 13:47 51.805 NLSDownlevelMapping.log
15.03.2007 13:44 50.462 KB915865.log
15.03.2007 13:41 48.940 KB914440.log
15.03.2007 13:41 106.380 KB928090.log
15.03.2007 13:40 99.557 KB904942.log
15.03.2007 13:33 39.275 WgaNotify.log
15.03.2007 13:10 54.958 KB931836.log
15.03.2007 13:08 39.771 KB926436.log
15.03.2007 13:08 39.164 KB918118.log
15.03.2007 13:08 39.739 KB927779.log
15.03.2007 13:08 34.667 KB924667.log
15.03.2007 13:08 36.036 KB927802.log
15.03.2007 13:07 35.192 KB928843.log
15.03.2007 13:07 36.503 KB928255.log
15.03.2007 13:07 35.483 KB929969.log
15.03.2007 13:06 29.761 KB923689.log
15.03.2007 13:05 28.994 KB925398.log
15.03.2007 13:03 35.733 KB923694.log
15.03.2007 13:02 35.186 KB926255.log
15.03.2007 13:02 35.299 KB923980.log
15.03.2007 13:01 34.695 KB924270.log
15.03.2007 13:00 33.552 KB920213.log
15.03.2007 13:00 32.999 KB922819.log
15.03.2007 13:00 31.990 KB924191.log
15.03.2007 13:00 29.184 KB923191.log
15.03.2007 12:59 31.266 KB924496.log
15.03.2007 12:59 30.609 KB923414.log
15.03.2007 12:59 32.507 KB920872.log
15.03.2007 12:59 30.621 KB920685.log
15.03.2007 12:58 30.625 KB919007.log
15.03.2007 12:58 30.707 KB916595.log
15.03.2007 12:58 24.123 KB922582.log
15.03.2007 12:58 30.400 KB920683.log
15.03.2007 12:57 28.728 KB920670.log
15.03.2007 12:57 28.883 KB917422.log
15.03.2007 12:57 29.056 KB914388.log
15.03.2007 12:57 27.408 KB911280.log
15.03.2007 12:56 26.792 KB917953.log
15.03.2007 12:56 28.056 KB913580.log
15.03.2007 12:56 26.652 KB918439.log
15.03.2007 12:56 27.336 KB917344.log
15.03.2007 12:56 32.305 KB914389.log
15.03.2007 12:55 18.978 KB917734.log
15.03.2007 12:55 29.603 wmsetup.log
15.03.2007 12:54 31.794 KB908531.log
15.03.2007 12:54 32.307 KB900485.log
15.03.2007 12:53 30.846 KB911562.log
15.03.2007 12:53 17.927 KB911564.log
15.03.2007 12:51 30.155 KB911927.log
15.03.2007 12:51 30.323 KB912919.log
15.03.2007 12:51 29.533 KB908519.log
15.03.2007 12:51 29.341 KB904706.log
15.03.2007 12:51 20.402 KB910437.log
15.03.2007 12:50 29.621 KB896424.log
15.03.2007 12:50 28.937 KB900725.log
15.03.2007 12:50 26.582 KB905749.log
15.03.2007 12:49 26.032 KB905414.log
15.03.2007 12:49 25.174 KB901017.log
15.03.2007 12:49 29.920 KB902400.log
15.03.2007 12:46 22.773 KB894391.log
15.03.2007 12:46 20.891 KB896423.log
15.03.2007 12:46 20.767 KB899587.log
15.03.2007 06:51 181 hpbafd.ini
15.03.2007 06:08 121 upddb.dat
13.03.2007 15:00 16.274 KB899591.log
13.03.2007 14:59 16.398 KB893756.log
13.03.2007 14:57 15.529 KB896358.log
13.03.2007 14:56 17.260 KB890859.log
13.03.2007 14:55 13.897 KB901214.log
13.03.2007 14:54 12.886 KB896428.log
24.02.2007 06:53 54.156 QTFont.qfn
19.02.2007 11:11 1.409 QTFont.for
15.02.2007 11:30 26 ulead32.ini
31.01.2007 18:05 71 pex.INI
30.01.2007 17:16 1.454 COM+.log
30.01.2007 13:07 4.359 ODBCINST.INI
30.01.2007 12:55 12 QBWCD.INI
30.01.2007 08:42 1.177 mozver.dat
15.01.2007 09:43 0 nsreg.dat
10.11.2006 11:58 7.668 WGA.log
10.11.2006 11:57 7.244 KB898461.log
10.11.2006 11:56 8.340 KB893803v2.log
30.10.2006 08:24 3.856 ModemLog_Lucent Technologies Soft Modem AMR.txt
12.10.2006 17:38 1.452 Illuminator Settings.ini




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50B3-6BC8

Verzeichnis von C:\WINDOWS\Temp

15.03.2007 14:32 16.384 Perflib_Perfdata_3d0.dat
15.03.2007 14:11 613 33e2E.tmp
2 Datei(en) 16.997 Bytes
0 Verzeichnis(se), 8.981.897.216 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50B3-6BC8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.05.2005 04:19 291 wuweb.inf
17.01.2005 17:09 227 opuc.inf
15.12.2003 15:28 248 setup.inf
08.12.2003 13:58 3.759 swflash.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
21.03.2002 14:07 65 desktop.ini
8 Datei(en) 397.806 Bytes
0 Verzeichnis(se), 8.981.897.216 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50B3-6BC8

Verzeichnis von C:\

15.03.2007 14:35 0 sys.txt
15.03.2007 14:35 634 down.txt
15.03.2007 14:35 336 tmp.txt
15.03.2007 14:34 13.373 system.txt
15.03.2007 14:34 304 systemtemp.txt
15.03.2007 14:34 110.686 system32.txt
15.03.2007 14:31 6.465 ComboFix.txt
15.03.2007 14:10 266.915.840 hiberfil.sys
15.03.2007 14:10 1.048.576.000 pagefile.sys

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SysUpd

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53D3C442-8FEE-4784-9A21-6297D39613F0}

Files to delete:
c:\windows\downloaded program files\tsplugin.dll
C:\WINDOWS\Temp\33e2E.tmp
C:\WINDOWS\System32\Winad2.dll
C:\WINDOWS\System32\SysUpd.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit ewido - lasse alles gefundene loeschen + poste den repeort
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 direkt nach avengerdings kam:

'Win32/Malum.ADDL' wurde in C:\AVENGER\WINAD2.DLL entdeckt.
Computer: *, Benutzer: *\Büro.
Dateistatus: Bereinigung fehlgeschlagen; Datei wurde wiederhergestellt.



Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kacmogcl

*******************

Script file located at: \??\C:\gjnvtdhh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\windows\downloaded program files\tsplugin.dll not found!
Deletion of file c:\windows\downloaded program files\tsplugin.dll failed!

Could not process line:
c:\windows\downloaded program files\tsplugin.dll
Status: 0xc0000034



File C:\WINDOWS\Temp\33e2E.tmp not found!
Deletion of file C:\WINDOWS\Temp\33e2E.tmp failed!

Could not process line:
C:\WINDOWS\Temp\33e2E.tmp
Status: 0xc0000034

File C:\WINDOWS\System32\Winad2.dll deleted successfully.
File C:\WINDOWS\System32\SysUpd.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SysUpd deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53D3C442-8FEE-4784-9A21-6297D39613F0} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53D3C442-8FEE-4784-9A21-6297D39613F0} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


ewido läuft ..



'Win32/DlMersting.BA' wurde in C:\RECYCLED\Q330995.EXE entdeckt.
Computer: *, Benutzer: *\Büro.
Dateistatus: Datei wurde bereinigt; Systembereinigung wurde durchgeführt

Obere Meldung kam beim ewidoscan nebenbei



->OMFG

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Dialer.Generic
Path: HKLM\SOFTWARE\MainPean Highspeed
Risk: High

Name: Dialer.SexFiles.e
Path: C:\WINDOWS\dialerX.exe
Risk: High

Name: Dialer.Generic
Path: C:\WINDOWS\filesharing.exe
Risk: High

Name: Trojan.Dialer.bh
Path: C:\WINDOWS\system32\dialer5.exe
Risk: High

Name: Backdoor.Rbot.adf
Path: C:\WINDOWS\system32\run.exe
Risk: High

Name: Downloader.Tinytest
Path: C:\WINDOWS\system32\WebInstall.dll
Risk: High



wollte mit avenger tilgen, aber sind alle net mehr da?! :/

#6 scanne und poste den report
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 läuft noch...aber hat gerade gefunden instsrv.exe und srvany.exe in c:\Windows .....poste noch mal sobald er durch ist.



-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 158575
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 1
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 47 Kb/s
Dauer:: 02:14:34
-----------------------------------------------------------------------------


hm das log ist verwirrend, da 3 durchläufe oder so drinstehen ohne sinn. die 2 gefundenen "viren" sind wie oben geschrieben:

instsrv.exe und srvany.exe in c:\Windows

habe jedoch gerade nachgelesen, das es windows dateien sind, die man net löschen sollte. ich versuche es mit desinfizieren.

update: nicht desinfizierbar.....er hat sie wie in dem von dir geposteten link renamed. ich hoffe windoof startet gleich noch

#8 renamed - war eine gute idee, denn das kann man rueckgaengig machen, falls etwas nicht funktioniert....

scanne noch mal und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit