Und wieder einmal DriveCleaner&Co

#0
22.03.2007, 00:56
...neu hier

Beiträge: 6
#1 Hallo...

Heute hat's mich auch befallen. Ich hab das Forum entdeckt, als ich nach Lösungen zu dem mittlerweile bekannten Problem mit DriveCleaner, den vorgetäuschten IE-Fehlermeldungen und den in die Taskleiste programmierten Virenfehlern gesucht habe (Stichwort: "Malware Wiped"). AntiVir, AdAware und ZoneAlarm konnten dem leider keine Abhilfe verschaffen.

Gibt's mittlerweile 'ne automatische Lösungssoftware? Kann man von den Programmierern der obigen Softwares in einigen Tagen eine Lösung erwarten? (hab ja anhand des Forums gesehen, dass das Problem schon in den letzten beiden Wochen aufgetreten ist)

Wenn nicht, müsstet ihr mir mal helfen, das Problem zu knacken. Symptome:

- unerwünschte PopUps
- Meldungen im IE über die bekannten Sexseitenbesuche etc ("DriveCleaner")
- Meldung von vermeintlichen Viren im System über die Tasleiste ("Pest Capture", "WinAntiVir")
- Meldung von vermeintlichen Trojanern im System ("Malware Viped")


Grüße
- Matthias -

______________________________________


Ich hab mir jetzt den gepinnten Thread durchgelesen und gehe die einzelnen Schritte einfach mal durch.


(1) Zunächst mein HijackFile:


Zitat

Logfile of HijackThis v1.99.1
Scan saved at 01:07:12, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Video Access ActiveX Object\isamntr.exe
C:\Programme\Video Access ActiveX Object\pmsnrr.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Video Access ActiveX Object\pmmnt.exe
C:\Programme\Video Access ActiveX Object\isamini.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Matthias\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/aoe/article/aofenicknamerequired?StopLoginReturnCookie=true
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Programme\Video Access ActiveX Object\isadd.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/chuzzle/popcaploader_v6.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/zuma/oberongamesloader.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCDD593D-DE55-44BB-ADDB-338FE34895CB}: NameServer = 62.75.220.196
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
(2) CleanUp wurde duchgeführt


(3) Und nun die ComboFix-Datei:


Zitat

"Matthias" - 07-03-22 1:20:24 Service Pack 2
ComboFix 07-03-22.2 - Running from: "C:\Programme\Opera"

((((((((((((((((((((((((((((((( Files Created from 2007-02-22 to 2007-03-22 ))))))))))))))))))))))))))))))))))


2007-03-22 01:02 <DIR> d-------- C:\Wege gegen Spyware
2007-03-22 00:29 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-03-22 00:29 <DIR> d-------- C:\WINDOWS\LastGood
2007-03-21 22:08 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-03-21 22:08 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-03-21 21:20 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-03-21 21:19 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-03-21 21:19 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-03-21 21:18 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-03-21 20:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-03-21 20:34 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-03-21 20:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2007-03-21 14:24 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-03-21 14:24 <DIR> d-------- C:\Programme\Video Access ActiveX Object
2007-03-20 22:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-03-20 21:56 <DIR> d-------- C:\WINDOWS\SxsCaPendDel


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-22 01:19 -------- d-------- C:\Programme\opera
2007-03-21 20:49 -------- d-------- C:\DOKUME~1\Matthias\ANWEND~1\lavasoft
2007-03-21 20:48 -------- d-------- C:\Programme\lavasoft
2007-03-20 21:55 7168 --a-s---- C:\WINDOWS\system32\fyxkaah.dll
2007-03-13 12:47 -------- d-------- C:\Programme\quicktime
2007-03-13 12:45 -------- d-------- C:\Programme\skype
2007-03-13 12:44 -------- d-------- C:\DOKUME~1\Matthias\ANWEND~1\skype
2007-03-08 11:26 -------- d-------- C:\Programme\warcraft iii
2007-03-08 11:16 -------- d-------- C:\Programme\icqlite
2007-03-01 17:58 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
2007-02-19 00:23 -------- d-------- C:\Programme\oberon media
2007-01-26 00:06 -------- d-------- C:\Programme\icqtoolbar


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 "
"VTTrayp"="VTtrayp.exe"
"VTTimer"="VTTimer.exe"
"NWEReboot"=""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{b292ec9f-a074-4115-8342-1f459702d8d2}"="characterizing"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"user32.dll"="C:\\Programme\\Video Access ActiveX Object\\isamntr.exe"
"rare"="C:\\Programme\\Video Access ActiveX Object\\pmsnrr.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_SRESCAN
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_VSMON


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-22 1:24:31
(4) Und die datFind-Ergebnisse:


Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A3-E6B2

Verzeichnis von C:\WINDOWS\system32

28.01.2025 19:19 0 h323log.txt
22.03.2007 01:17 2.206 wpa.dbl
21.03.2007 21:27 54.112 vsconfig.xml
21.03.2007 21:21 4.212 zllictbl.dat
21.03.2007 20:54 4.408 iklog.log
20.03.2007 21:55 7.168 fyxkaah.dll
07.03.2007 21:36 12.619.736 MRT.exe
01.03.2007 17:58 43.520 CmdLineExt03.dll
17.02.2007 13:07 122.142 TZLog.log
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 13:52 617.472 urlmon.dll
23.01.2007 20:30 546.304 hhctrl.ocx
04.01.2007 14:41 664.576 wininet.dll
04.01.2007 14:41 474.624 shlwapi.dll
04.01.2007 14:41 1.494.528 shdocvw.dll
04.01.2007 14:41 532.480 mstime.dll
04.01.2007 14:41 39.424 pngfilt.dll
04.01.2007 14:40 146.432 msrating.dll
04.01.2007 14:40 448.512 mshtmled.dll
04.01.2007 14:40 3.077.632 mshtml.dll
04.01.2007 14:40 16.384 jsproxy.dll
04.01.2007 14:40 96.768 inseng.dll
04.01.2007 14:40 251.392 iepeers.dll
04.01.2007 14:40 55.808 extmgr.dll
04.01.2007 14:40 205.312 dxtrans.dll
04.01.2007 14:40 1.056.256 danim.dll
04.01.2007 14:40 357.888 dxtmsft.dll
04.01.2007 14:40 152.064 cdfview.dll
04.01.2007 14:40 1.023.488 browseui.dll
04.01.2007 12:52 123.392 xpsp3res.dll
03.01.2007 12:02 386.408 FNTCACHE.DAT
19.12.2006 22:49 135.168 shsvcs.dll
19.12.2006 22:49 8.494.592 shell32.dll
19.12.2006 19:21 2.182.656 ntoskrnl.exe
19.12.2006 19:21 2.059.904 ntkrnlpa.exe
19.12.2006 19:17 334.336 wiaservc.dll
07.12.2006 07:40 2.362.184 wmvcore.dll

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A3-E6B2

Verzeichnis von C:\DOKUME~1\Matthias\LOKALE~1\Temp

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A3-E6B2

Verzeichnis von C:\WINDOWS

28.01.2025 19:18 2.492 regopt.log
28.01.2025 19:13 231 system.ini
22.03.2007 00:29 618.225 setupapi.log
21.03.2007 22:34 2.911 KB893803v2Uninst.log
21.03.2007 22:34 730.214 iis6.log
21.03.2007 22:34 292.732 tsoc.log
21.03.2007 22:34 31.419 tabletoc.log
21.03.2007 22:34 131.724 ntdtcsetup.log
21.03.2007 22:34 217.648 comsetup.log
21.03.2007 22:34 34.856 ocmsn.log
21.03.2007 22:34 1.374 imsins.log
21.03.2007 22:33 314.726 ocgen.log
21.03.2007 22:33 44.082 MedCtrOC.log
21.03.2007 22:33 31.452 msgsocm.log
21.03.2007 22:33 109.937 netfxocm.log
21.03.2007 22:33 617.341 FaxSetup.log
21.03.2007 22:33 200.764 msmqinst.log
21.03.2007 22:08 184.275 setupact.log
21.03.2007 21:29 1.165.081 WindowsUpdate.log
21.03.2007 21:23 0 0.log
21.03.2007 21:23 159 wiadebug.log
21.03.2007 21:23 50 wiaservc.log
21.03.2007 21:23 2.048 bootstat.dat
21.03.2007 21:22 32.626 SchedLgU.Txt
21.03.2007 20:54 818 SpywareDoctor5Uninstall.log
19.03.2007 23:49 83.216 wmsetup.log
15.03.2007 22:40 1.374 imsins.BAK
15.03.2007 22:40 12.969 KB929338.log
13.03.2007 12:47 1.409 QTFont.for
13.03.2007 12:47 54.156 QTFont.qfn
18.02.2007 01:30 1.181 ie7_main.log
17.02.2007 13:07 17.870 KB927779.log
17.02.2007 13:07 38.041 updspapi.log
17.02.2007 13:07 15.668 KB927802.log
17.02.2007 13:07 15.414 KB928255.log
17.02.2007 13:07 11.861 KB924667.log
17.02.2007 13:07 24.300 KB931836.log
17.02.2007 13:07 13.805 KB926436.log
17.02.2007 13:06 14.017 KB918118.log
17.02.2007 13:06 18.280 KB928090.log
17.02.2007 13:06 10.758 KB928843.log
30.01.2007 15:53 908 S3D.ini
17.01.2007 07:15 43 gswin32.ini
11.01.2007 02:56 10.559 KB929969.log
03.01.2007 12:31 844 win.ini
21.12.2006 21:18 133 cncscore.ini
21.12.2006 21:15 19 cnc.ini
13.12.2006 14:17 17.873 KB925454.log
13.12.2006 14:17 7.103 KB925398.log
13.12.2006 14:17 8.351 KB923689.log
13.12.2006 14:16 11.210 KB926255.log
13.12.2006 14:16 11.026 KB923694.log

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A3-E6B2

Verzeichnis von C:\WINDOWS\Temp

21.03.2007 21:27 256 ZLT058fd.TMP
21.03.2007 21:27 256 ZLT058fa.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 47.961.874.432 Bytes frei

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A3-E6B2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.08.2006 11:45 576 kavwebscan.inf
03.05.2006 02:57 876 jinstall-1_5_0_07.inf
02.03.2006 14:40 1.271 erma.inf
28.01.2006 19:25 65 desktop.ini
28.11.2005 11:57 135.168 Oberongamesloader.dll
07.11.2005 15:47 257 Oberongamesloader.inf
27.08.2005 13:30 5.065 swflash.inf
31.01.2005 23:26 117.800 ZIntro.ocx
26.07.2004 20:37 325 heartbeat.inf
26.07.2004 20:36 134.747 zsetup.exe
26.07.2004 20:36 101.464 hrtbeat.ocx
19.12.2003 16:02 126.976 popcaploader.dll
19.12.2003 14:43 241 popcaploader.inf
13 Datei(en) 624.831 Bytes
0 Verzeichnis(se), 47.961.870.336 Bytes frei

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58A3-E6B2

Verzeichnis von C:\

22.03.2007 01:43 0 sys.txt
22.03.2007 01:42 924 down.txt
22.03.2007 01:42 327 tmp.txt
22.03.2007 01:40 10.489 system.txt
22.03.2007 01:37 136 systemtemp.txt
22.03.2007 01:35 98.004 system32.txt
22.03.2007 01:24 5.786 ComboFix.txt
21.03.2007 21:23 780.140.544 pagefile.sys
03.01.2007 12:31 160 TO_InstallLog.txt

20 Datei(en) 780.920.725 Bytes
0 Verzeichnis(se), 47.961.862.144 Bytes frei
Dieser Beitrag wurde am 22.03.2007 um 01:45 Uhr von Ktharsia editiert.
Seitenanfang Seitenende
22.03.2007, 08:40
Member
Avatar Chris4You

Beiträge: 694
#2 Hallo,Ktharsia

««
wende cleaup an
http://virus-protect.org/cleanup.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{b292ec9f-a074-4115-8342-1f459702d8d2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|user32.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|rare

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{84938242-5C5B-4A55-B6B9-A1507543B418}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video Access ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video Access ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b292ec9f-a074-4115-8342-1f459702d8d2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6ACAE64-F798-4930-AD86-BD3FB32038DB}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6ACAE64-F798-4930-AD86-BD3FB32038DB}

Files to delete:
C:\WINDOWS\system32\fyxkaah.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\%Username%\Favoriten\Online Security Test.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\Programme\Video Access ActiveX Object

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfraudfix.html



Chris
Seitenanfang Seitenende
22.03.2007, 11:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Ktharsia

poste das log vom avenger, was nach neustart erscheint, damit wir wissen, dass du das script korrekt angewendet hast
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 12:15
...neu hier

Themenstarter

Beiträge: 6
#4 Also, Avenger hat mich gefragt, ob ich eine neue Textdatei anlegen will und ich habe nichtsahnend "Ja" geklickt. Das Ergebnis war ein leeres Dokument.

Den Smitfraudfix werde ich nach dem Neustart posten.

Soweit die Zwischenergebnisse:

- Bis jetzt hat sich kein dubioser Spywareanbieter mehr gemeldelt
- PopUps gibt's immernoch
- Systemgeschwindigkeit wieder auf fast normalem Stand

Okay, soweit der erste Rapport:

Zitat

SmitFraudFix v2.152

Scan done at 12:16:57,68, 22.03.2007
Run from C:\Wege gegen Spyware\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\fyxkaah.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Matthias


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Matthias\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Matthias\FAVORI~1

C:\DOKUME~1\Matthias\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\Video Access ActiveX Object\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b292ec9f-a074-4115-8342-1f459702d8d2}"="characterizing"

[HKEY_CLASSES_ROOT\CLSID\{b292ec9f-a074-4115-8342-1f459702d8d2}\InProcServer32]
@="C:\WINDOWS\system32\fyxkaah.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b292ec9f-a074-4115-8342-1f459702d8d2}\InProcServer32]
@="C:\WINDOWS\system32\fyxkaah.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Dieser Beitrag wurde am 22.03.2007 um 12:19 Uhr von Ktharsia editiert.
Seitenanfang Seitenende
22.03.2007, 12:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 wende das avengerscript (siehe oben) noch mal an ;)
poste das log nach neustart
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 12:23
...neu hier

Beiträge: 4
#6 Hab das gleiche Problem, gestern lief mein Internet noch einwandfrei und seit heute früh kommen die schon beschriebenen Pop-ups. Merkwürdigerweise tritt das Problem nur beim IE und nicht bei Firefox auf.

Außerdem sind mir 6 Dateien im Verzeichnis C:\ aufgefallen mit den eigenartigen Namen gqefdh, hmpoi, tmlkv, uwfqp. Die anderen beiden konnte ich löschen, bloß diese lassen sich nicht entfernen, verschieben, etc., da sie angeblich verwendet werden. Vielleicht haben die was damit zu tun. Wurden alle gestern 15:34 geändert.

Hier die Logs:

1)
Logfile of HijackThis v1.99.1
Scan saved at 11:26:00, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\Werkzeuge\DAEMON Tools\daemon.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Musikprogramme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Musikprogramme\iPod\bin\iPodService.exe
C:\Programme\Internetprogramme\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Dokumente und Einstellungen\Hagbart\Eigene Dateien\für Programme\Mouse-O-Meter\Mousometer.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijack This\HijackThis.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\Werkzeuge\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\Musikprogramme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] G:\Installationen\PowerDVD7\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] G:\Installationen\PowerDVD7\Language\Language.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Internetprogramme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\nxkqcflt.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Verknüpfung mit Mousometer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\Musikprogramme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

2) CleanUp ausgeführt

3)
"Hagbart" - 07-03-22 11:45:52 Service Pack 2
ComboFix 07-03-22.2 - Running from: "C:\Programme\ComboFix"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\geebx.dll
C:\Programme\vsadd-in


((((((((((((((((((((((((((((((( Files Created from 2007-02-22 to 2007-03-22 ))))))))))))))))))))))))))))))))))


2007-03-22 11:31 <DIR> d-------- C:\Programme\CleanUp
2007-03-22 11:05 <DIR> d-------- C:\Programme\Hijack This
2007-03-22 10:43 88,340 --a------ C:\WINDOWS\system32\krkoppfc.exe
2007-03-22 10:43 465,190 ---hs---- C:\WINDOWS\system32\xbadd.bak2
2007-03-21 16:42 88,340 --a------ C:\WINDOWS\system32\wkakxgxt.exe
2007-03-21 16:42 465,246 ---hs---- C:\WINDOWS\system32\xbadd.bak1
2007-03-21 16:42 123,412 --a------ C:\WINDOWS\system32\nxkqcflt.dll

2007-03-21 16:17 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-03-21 16:17 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-03-21 16:17 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-03-21 16:17 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-03-21 16:17 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-03-21 16:17 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-03-21 16:16 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-03-21 16:16 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-03-21 16:15 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-03-21 16:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-03-21 15:40 280,676 ---hs---- C:\WINDOWS\system32\pmnlm.dll
2007-03-21 15:40 280,676 ---hs---- C:\WINDOWS\system32\ddabx.dll
2007-03-21 15:34 0 --a------ C:\xgsljlcc.exe
2007-03-21 15:34 0 --a------ C:\vwws.exe
2007-03-21 15:34 0 --a------ C:\uwfqp.exe
2007-03-21 15:34 0 --a------ C:\tmlkv.exe
2007-03-21 15:34 0 --a------ C:\hmpoi.exe
2007-03-21 15:34 0 --a------ C:\gqefdh.exe
2007-03-21 15:31 26,697 --a------ C:\WINDOWS\system32\khfggde.dll
2007-03-21 15:30 26,697 --a------ C:\WINDOWS\system32\wvutqqn.dll
2007-03-21 15:30 26,697 --a------ C:\WINDOWS\system32\ssqpqqn.dll
2007-03-21 15:28 26,697 --a------ C:\WINDOWS\system32\rqrstur.dll

2007-03-21 13:00 <DIR> d-------- C:\Programme\Craagle
2007-03-21 12:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-03-21 12:55 <DIR> d-------- C:\DOKUME~1\Hagbart\ANWEND~1\CDZilla
2007-03-06 20:01 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-03-06 20:01 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-03-06 19:21 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-03-04 19:19 <DIR> d-------- C:\Programme\Cyberlink


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-22 11:36 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\fritz!
2007-03-21 16:16 -------- d-------- C:\Programme\internetprogramme
2007-03-21 16:13 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\vso
2007-03-21 13:05 87608 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\ezpinst.exe
2007-03-21 13:05 7824 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.cat
2007-03-21 13:05 47360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2007-03-21 13:05 47360 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.sys
2007-03-21 13:05 34 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.log
2007-03-21 13:05 1144 --a------ C:\DOKUME~1\Hagbart\ANWEND~1\pcouffin.inf
2007-03-21 12:55 1386496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2007-03-17 19:55 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\chessbase
2007-03-13 10:02 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-06 19:54 -------- d--h----- C:\Programme\installshield installation information
2007-03-06 19:54 -------- d-------- C:\Programme\spiele
2007-03-06 12:38 -------- d-------- C:\Programme\werkzeuge
2007-03-06 12:33 1221 --a------ C:\WINDOWS\ereg.dat
2007-01-31 19:52 -------- d-------- C:\Programme\ubi soft
2007-01-31 16:45 -------- d-------- C:\Programme\quicktime
2007-01-31 16:44 -------- d-------- C:\Programme\musikprogramme
2007-01-31 16:22 -------- d-------- C:\Programme\intel
2007-01-31 16:09 -------- d-------- C:\Programme\grafiksoftware
2007-01-31 16:00 -------- d-------- C:\Programme\sonstiges
2007-01-31 15:39 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2007-01-31 14:45 -------- d-------- C:\Programme\filmprogramme
2007-01-26 02:19 524288 --a------ C:\WINDOWS\system32\divxsm.exe
2007-01-26 02:19 36624 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-01-26 02:19 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-01-26 02:19 2560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-01-26 02:19 2432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-01-26 02:19 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-01-26 02:19 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-01-26 02:19 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-01-26 02:18 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-01-26 02:18 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-01-26 02:13 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-01-26 02:13 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-01-26 02:13 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-01-26 02:13 738906 --a------ C:\WINDOWS\system32\divx.dll
2007-01-26 02:13 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-01-26 02:13 593920 --a------ C:\WINDOWS\system32\dpugui11.dll
2007-01-26 02:13 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-01-26 02:13 53248 --a------ C:\WINDOWS\system32\dpugui10.dll
2007-01-26 02:13 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-01-26 02:13 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-01-26 02:13 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-01-26 02:13 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-01-25 20:46 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\divx
2007-01-23 10:42 -------- d-------- C:\DOKUME~1\Hagbart\ANWEND~1\kompozer


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"PowerBar"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
@=""
"EDS"="C:\\Programme\\Samsung\\Samsung EDS\\EDSAgent.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"AVStation Premium 3.75"="C:\\Programme\\Samsung\\AVStation Premium 3.75\\AVSAgent.exe"
"MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe"
"farstone"=""
"RestoreIT!"="\"C:\\Programme\\Phoenix Technologies Ltd\\RecoverPro_XP\\VBPTASK.EXE\" VBStart"
"BatteryManager"="C:\\Programme\\Samsung\\Samsung Battery Manager\\BatteryManager.exe"
"DMHotKey"="C:\\Programme\\Samsung\\DisplayManager\\DMLoader.exe"
"DisplayManager"="C:\\Programme\\Samsung\\DisplayManager\\DisplayManager.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"DAEMON Tools"="\"C:\\Programme\\Werkzeuge\\DAEMON Tools\\daemon.exe\" -lang 1033"
"iTunesHelper"="\"C:\\Programme\\Musikprogramme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"RemoteControl"="G:\\Installationen\\PowerDVD7\\PDVDServ.exe"
"LanguageShortcut"="G:\\Installationen\\PowerDVD7\\Language\\Language.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ZoneAlarm Client"="\"C:\\Programme\\Internetprogramme\\Sicherheit\\ZoneAlarm\\zlclient.exe\""
"2chkdsk"="rundll32.exe \"C:\\WINDOWS\\system32\\nxkqcflt.dll\",setvm"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88CDD2BC-DC99-4A23-A276-02EF368D3DEB}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrstur


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ????????????\?@?\?@?D??????w???????????????w\?@?\?@????? ???????????g??w???w???????w???wx??????????w???????? ??????????????|x???0???????????? kt???w???????????????? ???^???H???????\?@?\?@????????w????d?@?????\?@?(?@?\?@?3??s????????????????????(?@?_??s(?@?(?@
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PowerBar = ????????????\?@?\?@?D??????w???????????????w\?@?\?@????? ???????????g??w???w???????w???wx??????????w???????? ??????????????|x???0???????????? kt???w???????????????? ???^???H???????\?@?\?@????????w????d?@?????\?@?(?@?\?@?3??s????????????????????(?@?_??s(?@?(?@

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-22 11:52:03
Seitenanfang Seitenende
22.03.2007, 12:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hagbart

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 12:33
...neu hier

Themenstarter

Beiträge: 6
#8 Und hier der zweite Rapport von Smitfraudfix:

Zitat

SmitFraudFix v2.152

Scan done at 12:25:28,23, 22.03.2007
Run from C:\Wege gegen Spyware\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b292ec9f-a074-4115-8342-1f459702d8d2}"="characterizing"

[HKEY_CLASSES_ROOT\CLSID\{b292ec9f-a074-4115-8342-1f459702d8d2}\InProcServer32]
@="C:\WINDOWS\system32\fyxkaah.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b292ec9f-a074-4115-8342-1f459702d8d2}\InProcServer32]
@="C:\WINDOWS\system32\fyxkaah.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\fyxkaah.dll Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\Video Access ActiveX Object\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Mir machen irgendwie die letzten Zeilen Sorgen... was kann da dran sein?


Symptome:
- Im Abgesicherten Modus war wieder eine solche dubiose Virenmeldung zu sehen
- Bis jetzt noch kein PopUp, oder keine anderen Meldungen nach dem Reboot
- ABER: Verdächtige Einträge jusched.exe und ähnliche noch immer unter "Prozesse" im Menü [Strg-Alt-Entf] zu finden
Seitenanfang Seitenende
22.03.2007, 12:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Ktharsia

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{b292ec9f-a074-4115-8342-1f459702d8d2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|user32.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|rare

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{84938242-5C5B-4A55-B6B9-A1507543B418}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video Access ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video Access ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b292ec9f-a074-4115-8342-1f459702d8d2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6ACAE64-F798-4930-AD86-BD3FB32038DB}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6ACAE64-F798-4930-AD86-BD3FB32038DB}

Files to delete:
C:\WINDOWS\system32\fyxkaah.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\%Username%\Favoriten\Online Security Test.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\Programme\Video Access ActiveX Object
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 12:40
...neu hier

Themenstarter

Beiträge: 6
#10 Ergebnis ist eine Fehlermeldung:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rjbrkqay

*******************

Script file located at: twacirio

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
Ich schalte jetzt mal die Firewall aus, und werde dann in 15 Minuten sehen, was so alles passiert ist.
Dieser Beitrag wurde am 22.03.2007 um 12:50 Uhr von Ktharsia editiert.
Seitenanfang Seitenende
22.03.2007, 12:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 du hast wahrscheinlich "Zitat" mit reinkopiert ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 13:09
...neu hier

Themenstarter

Beiträge: 6
#12 Die Symptome:
- keine weiteren unangenehmen Zwischenfälle auch bei ausgeschalteter Firewall
- verdächtige oben genannte Prozesse noch immer im "Affengriff"-Menü

edit (Sabina)
Seitenanfang Seitenende
22.03.2007, 13:18
...neu hier

Beiträge: 4
#13 1) erledigt

2)vundofix:

VundoFix V6.3.17

Checking Java version...

Sun Java not detected
Scan started at 12:46:50 22.03.2007

Listing files found while scanning....

C:\WINDOWS\system32\ddabx.dll
C:\WINDOWS\system32\krkoppfc.exe
C:\WINDOWS\system32\wkakxgxt.exe
C:\WINDOWS\system32\xbadd.bak1
C:\WINDOWS\system32\xbadd.bak2
C:\WINDOWS\system32\xbadd.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ddabx.dll
C:\WINDOWS\system32\ddabx.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\krkoppfc.exe
C:\WINDOWS\system32\krkoppfc.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\wkakxgxt.exe
C:\WINDOWS\system32\wkakxgxt.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\xbadd.bak1
C:\WINDOWS\system32\xbadd.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\xbadd.bak2
C:\WINDOWS\system32\xbadd.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\xbadd.ini
C:\WINDOWS\system32\xbadd.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ddabx.dll
C:\WINDOWS\system32\ddabx.dll Has been deleted!

Performing Repairs to the registry.
Done!

3)

TEXT1

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS\system32

22.03.2007 13:11 439.028 pqstv.ini
22.03.2007 13:08 88.340 scpyjgko.exe
22.03.2007 13:08 437.107 pqstv.bak1
22.03.2007 13:08 409 kmllm.ini
22.03.2007 13:08 280.676 vtsqp.dll
22.03.2007 13:08 280.676 mllmk.dll
22.03.2007 13:03 1.599.532 tlfcqkxn.ini

22.03.2007 13:01 1.158 wpa.dbl
22.03.2007 13:01 55.081 vsconfig.xml
21.03.2007 16:42 123.412 nxkqcflt.dll
21.03.2007 16:21 4.212 zllictbl.dat
21.03.2007 15:41 353 xbeeg.ini
21.03.2007 15:40 353 mlnmp.ini
21.03.2007 15:40 280.676 pmnlm.dll
21.03.2007 15:31 26.697 khfggde.dll
21.03.2007 15:30 26.697 ssqpqqn.dll
21.03.2007 15:30 26.697 wvutqqn.dll
21.03.2007 15:28 26.697 rqrstur.dll

21.03.2007 12:55 1.386.496 msvbvm60.dll
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll

TEXT2

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\DOKUME~1\Hagbart\LOKALE~1\Temp

22.03.2007 13:03 16.384 Perflib_Perfdata_7d4.dat
22.03.2007 13:03 16.384 Perflib_Perfdata_6c8.dat
22.03.2007 13:03 0 JET7620.tmp
22.03.2007 13:03 49.152 ~DF2CFA.tmp
22.03.2007 13:02 16.384 Perflib_Perfdata_a20.dat
22.03.2007 13:02 344.064 ~DF5132.tmp
22.03.2007 12:58 32.768 ~DF4F28.tmp
22.03.2007 12:46 32.768 ~DF606E.tmp
22.03.2007 12:43 16.384 Perflib_Perfdata_e98.dat
22.03.2007 12:43 16.384 Perflib_Perfdata_d6c.dat
22.03.2007 12:43 16.384 Perflib_Perfdata_b1c.dat
22.03.2007 12:43 49.152 ~DFD942.tmp
22.03.2007 12:43 0 JET8C3E.tmp
22.03.2007 12:42 344.064 ~DF12A6.tmp
22.03.2007 12:42 21.562 Finnish.bin
22.03.2007 12:42 20.859 Turkish.bin
22.03.2007 12:42 20.608 Norwegian.bin
22.03.2007 12:42 24.446 Hungarian.bin
22.03.2007 12:42 18.436 Hebrew.bin
22.03.2007 12:42 23.522 Portuguese(Brazil).bin
22.03.2007 12:42 20.733 Thai.bin
22.03.2007 12:42 22.862 Czech.bin
22.03.2007 12:42 22.606 Polish.bin
22.03.2007 12:42 23.467 Greek.bin
22.03.2007 12:42 19.506 Arabic.bin
22.03.2007 12:42 15.534 SimChin.bin
22.03.2007 12:42 21.773 English.bin
22.03.2007 12:42 24.654 Portuguese.bin
22.03.2007 12:42 26.062 Spanish.bin
22.03.2007 12:42 22.684 SWEDISH.bin
22.03.2007 12:42 25.824 Italian.bin
22.03.2007 12:42 24.274 German.bin
22.03.2007 12:42 24.638 Russian.bin
22.03.2007 12:42 25.665 French.bin
22.03.2007 12:42 16.913 TradChin.bin
22.03.2007 12:42 22.856 Danish.bin
22.03.2007 12:42 24.173 Dutch.bin
22.03.2007 12:42 18.978 Korean.bin
22.03.2007 12:42 22.809 Japanese.bin
39 Datei(en) 1.505.716 Bytes
0 Verzeichnis(se), 41.219.215.360 Bytes frei


TEXT3

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS

22.03.2007 13:01 0 0.log
22.03.2007 13:01 1.506.783 WindowsUpdate.log
22.03.2007 13:01 159 wiadebug.log
22.03.2007 13:01 50 wiaservc.log
22.03.2007 13:00 2.048 bootstat.dat
22.03.2007 11:57 439 system.ini
22.03.2007 11:36 32.536 SchedLgU.Txt
21.03.2007 18:14 22.131 LUINSTALL.LOG
21.03.2007 15:39 853 win.ini
21.03.2007 14:32 116 NeroDigital.ini
21.03.2007 13:05 926.487 setupapi.log
19.03.2007 13:03 117 vbaddin.ini
18.03.2007 17:00 73.179 wmsetup.log
18.03.2007 15:23 348 ChssBase.ini
14.03.2007 12:19 210.473 comsetup.log
14.03.2007 12:19 96.210 iis6.log
14.03.2007 12:19 234.209 tsoc.log
14.03.2007 12:19 126.005 ntdtcsetup.log
14.03.2007 12:19 33.375 ocmsn.log
14.03.2007 12:19 1.374 imsins.log
14.03.2007 12:19 15.341 KB929338.log
14.03.2007 12:19 291.705 ocgen.log
14.03.2007 12:19 30.226 msgsocm.log
14.03.2007 12:19 598.944 FaxSetup.log
09.03.2007 00:02 42.648 zllsputility_loc0407.dll
09.03.2007 00:02 75.512 zllsputility.exe
06.03.2007 20:01 171.771 Directx.log
06.03.2007 12:33 1.221 eReg.dat
06.03.2007 11:03 139 LODERUNN.INI
03.03.2007 23:50 11 wanpatan.ini
02.03.2007 15:58 173 civ.ini
28.02.2007 06:57 14.343 WgaNotify.log
16.02.2007 15:20 1.374 imsins.BAK
16.02.2007 15:20 20.564 KB927779.log
16.02.2007 15:20 37.020 updspapi.log
16.02.2007 15:20 17.569 KB927802.log
16.02.2007 15:20 17.309 KB928255.log
16.02.2007 15:19 13.972 KB924667.log
16.02.2007 15:19 25.714 KB931836.log
16.02.2007 15:19 15.533 KB926436.log
16.02.2007 15:19 14.928 KB918118.log
16.02.2007 15:18 18.874 KB928090.log
16.02.2007 15:18 11.770 KB928843.log
08.02.2007 18:45 208.625 setupact.log
31.01.2007 16:45 452 GEARInstall.log
31.01.2007 15:29 597 scummvm.ini
10.01.2007 10:47 16.183 KB929969.log
16.12.2006 07:23 10.705 KB923689.log
16.12.2006 07:22 11.051 KB926255.log
16.12.2006 07:22 11.028 KB923694.log
13.12.2006 21:55 17.548 KB925454.log
13.12.2006 21:54 8.886 KB925398.log
12.12.2006 22:19 420.467 KB923980.log
08.12.2006 21:24 1.173 ie7_main.log


TEXT4

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS\Temp

22.03.2007 13:01 409 WGANotify.settings
22.03.2007 13:01 255 WGAErrLog.txt
22.03.2007 13:01 256 ZLT023d5.TMP
22.03.2007 13:01 256 ZLT023d2.TMP
22.03.2007 12:58 256 ZLT021ba.TMP
22.03.2007 12:58 256 ZLT021b7.TMP
6 Datei(en) 1.688 Bytes
0 Verzeichnis(se), 41.219.203.072 Bytes frei


TEXT5

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

13.06.2006 19:13 65 desktop.ini
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
2 Datei(en) 1.227 Bytes
0 Verzeichnis(se), 41.219.203.072 Bytes frei


TEXT6

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 5C1B-E7C5

Verzeichnis von C:\

22.03.2007 13:17 0 sys.txt
22.03.2007 13:17 373 down.txt
22.03.2007 13:17 540 tmp.txt
22.03.2007 13:16 11.757 system.txt
22.03.2007 13:15 2.244 systemtemp.txt
22.03.2007 13:11 111.754 system32.txt
22.03.2007 13:03 73 cj.ini
22.03.2007 13:00 937.603.072 hiberfil.sys
22.03.2007 13:00 1.409.286.144 pagefile.sys
22.03.2007 11:57 0 hmpoi.exe
21.03.2007 15:34 0 tmlkv.exe
21.03.2007 15:34 0 uwfqp.exe
21.03.2007 15:34 0 gqefdh.exe

07.09.2006 21:35 211 boot.ini
13.06.2006 19:14 0 IO.SYS
13.06.2006 19:14 0 MSDOS.SYS
13.06.2006 19:14 0 AUTOEXEC.BAT
13.06.2006 19:14 0 CONFIG.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
21 Datei(en) 2.347.319.868 Bytes
0 Verzeichnis(se), 41.219.182.592 Bytes frei
Seitenanfang Seitenende
22.03.2007, 14:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Ktharsia

avengerscript hat nichts mehr gefunden, weil smitfraudfix schon alles geloescht hat ;)

jusched.exe
http://www.neuber.com/taskmanager/deutsch/prozess/jusched.exe.html

es ist also wieder alles im gruenen bereich ;)
wenn es noch Probs geben sollte - melde dich (und aufpassen - keine unbekannten codecs mehr laden! )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 14:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hagbart

««
Gehe in die registry
Start - Ausfuehren - regedit
oben links - bearbeiten - suchen - PowerBar

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
PowerBar - loeschen

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|2chkdsk

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrstur
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqp

Files to delete:
C:\cj.ini
C:\hmpoi.exe
C:\tmlkv.exe
C:\uwfqp.exe
C:\gqefdh.exe
C:\WINDOWS\system32\pqstv.ini
C:\WINDOWS\system32\scpyjgko.exe
C:\WINDOWS\system32\pqstv.bak1
C:\WINDOWS\system32\kmllm.ini
C:\WINDOWS\system32\vtsqp.dll
C:\WINDOWS\system32\mllmk.dll
C:\WINDOWS\system32\tlfcqkxn.ini
C:\WINDOWS\system32\nxkqcflt.dll
C:\WINDOWS\system32\xbeeg.ini
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\khfggde.dll
C:\WINDOWS\system32\ssqpqqn.dll
C:\WINDOWS\system32\wvutqqn.dll
C:\WINDOWS\system32\rqrstur.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: