Home » Viren, Trojaner & Malware Forum » Win32:Warezov-BTW [Wrm] » Themenansicht

Win32:Warezov-BTW [Wrm]
#0
13.04.2007, 10:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 FlaVoR

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O2 - BHO: (no name) - {EDB94E4E-BE7C-4B5F-9D97-BE4B10A103A5} - C:\WINDOWS\system32\mciple16.dll

O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe

O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\system32\ifcconf.exe

O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)

O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
-----------------------------------------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundMnEx32
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|ifcdiag

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EDB94E4E-BE7C-4B5F-9D97-BE4B10A103A5}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EDB94E4E-BE7C-4B5F-9D97-BE4B10A103A5}

Files to delete:
C:\WINDOWS\system32\mciple16.dll
C:\WINDOWS\system32\mspradsn.exe
C:\WINDOWS\system32\msjidpmo.dll
C:\WINDOWS\system32\scrilprh.VIR000
C:\WINDOWS\system32\mspradsn.VIR
C:\WINDOWS\system32\msjidpmo.VIR000
C:\WINDOWS\system32\scrilprh.VIR000.VIR
C:\WINDOWS\system32\msjidpmo.VIR000.VIR
C:\WINDOWS\system32\msssmsda.VIR
C:\WINDOWS\system32\isrprf32.dll.VIR
C:\WINDOWS\system32\isrprov.exe.VIR
C:\WINDOWS\system32\diagisr.VIR
C:\WINDOWS\system32\msssmsda.dat
C:\WINDOWS\system32\ifcstat.dll.VIR
C:\WINDOWS\system32\ifcprf32.dll.VIR
C:\WINDOWS\system32\confifc.dll.VIR
C:\WINDOWS\system32\ifcperf.exe.VIR
C:\WINDOWS\system32\msssmsda.exe.ren.VIR
C:\WINDOWS\system32\diagisr.dll.ren.VIR
C:\WINDOWS\system32\scrilprh.VIR
C:\WINDOWS\system32\mspradsn.exe.VIR
C:\WINDOWS\system32\msjidpmo.VIR
C:\WINDOWS\system32\msssmsda.dll.VIR
C:\WINDOWS\tcsrahrk2.reg
C:\WINDOWS\shsdmmo.scf

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3

3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2007, 12:33
mr.diaet
...neu hier

Beiträge: 2
#17 hallo hallo ... hab seit kurzem(?) mit dem schädling zu kämpfen und werd ihn einfach nicht los!

da ich pc-technisch nicht so bewandert bin, hoffe ich, dass ich hier nachfolgend die richtigen daten poste

stefano

Logfile of HijackThis v1.99.1
Scan saved at 11:45:58, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\skcc32.exe
C:\Programme\G DATA InternetSecurity SE\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\G DATA InternetSecurity SE\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity SE\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity SE\AVK\AVKWCtl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\G DATA InternetSecurity SE\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\msssmsda.exe
C:\Dokumente und Einstellungen\Stefano\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity SE\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity SE\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity SE\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = C:\Programme\G DATA InternetSecurity SE\Firewall\GDFirewallTray.exe
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.kielnet-internet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEE24D93-A7CD-48E3-846E-BE827E0A3428}: NameServer = 89.27.130.33 89.27.130.34
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: msjidpmo.dll diagisr.dll confifc.dll ifcstat.dll
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity SE\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity SE\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity SE\Firewall\GDFwSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

und nun dafind ...

nr. 1

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 702F-9F4A

Verzeichnis von C:\WINDOWS\system32

15.04.2007 12:27 77.804 msssmsda.exe
15.04.2007 12:20 81.191 nvapps.xml
15.04.2007 12:20 2.206 wpa.dbl
07.04.2007 17:36 4 msssmsda.dat
07.04.2007 00:45 40.960 isrprov.exe
07.04.2007 00:45 49.152 diagisr.dll
07.04.2007 00:45 45.056 isrprf32.dll
06.04.2007 13:54 20.480 scrilprh.dll
06.04.2007 13:54 16.384 mspradsn.exe
06.04.2007 13:54 24.576 msjidpmo.dll
06.04.2007 13:54 98.304 msssmsda.dll
06.04.2007 09:38 126.112 FNTCACHE.DAT
01.04.2007 18:23 108.144 CmdLineExt.dll
25.03.2007 10:32 952 KGyGaAvL.sys
25.03.2007 10:31 506 mapisvc.inf
25.03.2007 09:24 390.944 perfh007.dat
25.03.2007 09:24 52.764 perfc009.dat
25.03.2007 09:24 380.350 perfh009.dat
25.03.2007 09:24 63.534 perfc007.dat
25.03.2007 09:24 897.848 PerfStringBackup.INI
23.03.2007 00:42 122.142 TZLog.log
21.03.2007 23:31 302 $winnt$.inf
21.03.2007 23:29 2.951 CONFIG.NT

nr. 2

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 702F-9F4A

Verzeichnis von C:\DOKUME~1\Stefano\LOKALE~1\Temp

nr. 3

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 702F-9F4A

Verzeichnis von C:\WINDOWS

15.04.2007 12:19 1.666.587 WindowsUpdate.log
15.04.2007 12:17 0 0.log
15.04.2007 12:17 2.048 bootstat.dat
15.04.2007 12:16 14.296 SchedLgU.Txt
12.04.2007 22:14 216 wiadebug.log
12.04.2007 21:09 50 wiaservc.log
11.04.2007 22:58 74.540 MedCtrOC.log
11.04.2007 22:58 33.272 ehOCGen.log
11.04.2007 22:58 665.307 iis6.log
11.04.2007 22:58 269.784 tsoc.log
11.04.2007 22:58 29.906 tabletoc.log
11.04.2007 22:58 205.914 comsetup.log
11.04.2007 22:58 32.007 ocmsn.log
11.04.2007 22:58 122.854 ntdtcsetup.log
11.04.2007 22:58 1.374 imsins.log
11.04.2007 22:58 14.784 KB931784.log
11.04.2007 22:58 67.426 plusoc.log
11.04.2007 22:58 283.004 ocgen.log
11.04.2007 22:58 115.468 netfxocm.log
11.04.2007 22:58 29.299 msgsocm.log
11.04.2007 22:58 580.361 FaxSetup.log
11.04.2007 22:58 184.798 msmqinst.log
11.04.2007 22:58 1.374 imsins.BAK
11.04.2007 22:58 12.747 KB931261.log
11.04.2007 22:58 13.056 KB930178.log
11.04.2007 22:58 28.111 updspapi.log
11.04.2007 22:58 14.294 KB932168.log
09.04.2007 16:53 666 KB829558.log
09.04.2007 16:53 10.378 KB893803v2.log
09.04.2007 16:53 4.625 setupapi.log
06.04.2007 22:46 0 shsdmmo.scf
06.04.2007 20:14 116.736 skcc32.exe
06.04.2007 09:36 12.729 KB925902.log
01.04.2007 18:23 115.993 DirectX.log

nr. 4

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 702F-9F4A

Verzeichnis von C:\WINDOWS\Temp

15.04.2007 12:20 409 WGANotify.settings
15.04.2007 12:20 255 WGAErrLog.txt
15.04.2007 12:17 0 JETE1A5.tmp
15.04.2007 12:17 0 JETDB8B.tmp
15.04.2007 12:17 0 JETD8BC.tmp
15.04.2007 12:17 0 JETBE1F.tmp
6 Datei(en) 664 Bytes
0 Verzeichnis(se), 259.362.000.896 Bytes frei


nr. 5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 702F-9F4A

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.03.2007 23:27 65 desktop.ini
06.12.2006 17:27 1.249 erma.inf
11.08.2005 16:30 417.792 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
5 Datei(en) 640.290 Bytes
0 Verzeichnis(se), 259.362.000.896 Bytes frei

nr. 6

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 702F-9F4A

Verzeichnis von C:\

15.04.2007 12:33 0 sys.txt
15.04.2007 12:32 492 down.txt
15.04.2007 12:32 531 tmp.txt
15.04.2007 12:31 9.987 system.txt
15.04.2007 12:31 135 systemtemp.txt
15.04.2007 12:30 98.785 system32.txt
15.04.2007 12:17 1.610.612.736 pagefile.sys
21.03.2007 23:29 0 AUTOEXEC.BAT
21.03.2007 23:29 0 MSDOS.SYS
21.03.2007 23:29 0 IO.SYS
21.03.2007 23:29 0 CONFIG.SYS
21.03.2007 23:22 209 boot.ini
Seitenanfang Seitenende
15.04.2007, 13:02
chris69
...neu hier

Beiträge: 5
#18 habe das gleiche problem ;)


Logfile of HijackThis v1.99.1
Scan saved at 12:55:54, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\skcc32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\phonostar\ps_timer.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\MediaMonkey\MediaMonkey.exe
C:\Programme\Azureus\Azureus.exe
C:\WINDOWS\System32\msssmsda.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

www.prosieben.de/index.php?icqpath=icq
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft

Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} -

C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {54D2B77D-EDE5-E770-BC83-4C8D2A44ADD5} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}

- C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -

C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched]

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ULiRaid] C:\Programme\ULiRaid\ULiRaid.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus

DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe

bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe"

-lang 1033 -noicon
O4 - HKLM\..\Run: [ClockGen] C:\Dokumente und

Einstellungen\Administrator\Desktop\ClockGen.exe -i p=0
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus

DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe"

/background
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI

Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PhonostarTimer] d:\Programme\phonostar\ps_timer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft

Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search -

res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper -

d:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren -

res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 -

HKLM\System\CCS\Services\Tcpip\..\{FB4EE765-83BB-4A3E-8F05-62CC65284287}:

NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: diagisr.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil

Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil

Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies,

Inc. - C:\Programme\Sygate\SPF\smc.exe
Seitenanfang Seitenende
15.04.2007, 16:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 mr.diaet

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|himem.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SoundMnEx32

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\dbgmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dbgmgr
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda

Files to delete:
C:\WINDOWS\system32\msssmsda.exe
C:\WINDOWS\system32\msssmsda.dat
C:\WINDOWS\system32\isrprov.exe
C:\WINDOWS\system32\diagisr.dll
C:\WINDOWS\system32\isrprf32.dll
C:\WINDOWS\system32\scrilprh.dll
C:\WINDOWS\system32\mspradsn.exe
C:\WINDOWS\system32\msjidpmo.dll
C:\WINDOWS\system32\msssmsda.dll
C:\WINDOWS\shsdmmo.scf
C:\WINDOWS\skcc32.exe
C:\WINDOWS\Temp\JETE1A5.tmp
C:\WINDOWS\Temp\JETDB8B.tmp
C:\WINDOWS\Temp\JETD8BC.tmp
C:\WINDOWS\Temp\JETBE1F.tmp

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2007, 16:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 chris69

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2007, 22:54
chris69
...neu hier

Beiträge: 5
#21 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\WINDOWS\system32

15.04.2007 20:45 40.960 isrprov.exe
15.04.2007 17:09 16.384 mspradsn.exe
15.04.2007 17:03 401.200 perfh009.dat
15.04.2007 17:03 62.480 perfc009.dat
15.04.2007 17:03 75.194 perfc007.dat
15.04.2007 17:03 415.800 perfh007.dat
15.04.2007 17:03 966.250 PerfStringBackup.INI
15.04.2007 12:50 24.576 msjidpmo.dll
14.04.2007 20:19 45.056 isrprf32.dll
14.04.2007 19:35 2.850 iklog.log
14.04.2007 18:01 4 msssmsda.dat
14.04.2007 13:33 3.002 CONFIG.NT
14.04.2007 09:42 90.112 AvastSS.scr
11.04.2007 11:26 2.206 wpa.dbl
10.04.2007 13:18 712.832 aswBoot.exe
07.04.2007 09:58 53.248 diagisr.dll
06.04.2007 15:21 20.480 scrilprh.dll
06.04.2007 15:21 98.304 msssmsda.dll
22.03.2007 15:57 98.304 CmdLineExt.dll
13.03.2007 19:25 262.144 wrap_oal.dll
13.03.2007 19:25 86.016 OpenAL32.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

15.04.2007 20:45 49.152 ~DF1123.tmp
1 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 40.344.539.136 Bytes frei


15.04.2007 23:19 380.425 WindowsUpdate.log
15.04.2007 22:52 95 winamp.ini
15.04.2007 17:00 0 0.log
15.04.2007 16:59 159 wiadebug.log
15.04.2007 16:59 50 wiaservc.log
15.04.2007 16:59 2.048 bootstat.dat
15.04.2007 12:46 512 ODBC.INI
15.04.2007 12:39 32.592 SchedLgU.Txt
14.04.2007 19:35 886 SpywareDoctor5Uninstall.log
14.04.2007 19:18 40 SpywareDoctor5Install.log
08.04.2007 18:18 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung.txt
08.04.2007 17:51 981.101 setupapi.log
07.04.2007 11:31 0 shsdmmo.scf
06.04.2007 17:20 116.736 skcc32.exe
06.04.2007 15:27 3.144.800 lx1k01.txt
06.04.2007 15:22 177.152 npp32.exe
24.03.2007 15:06 457.000 DirectX.log
18.03.2007 23:58 239.174 ntbtlog.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\WINDOWS\Temp

15.04.2007 16:59 16.384 Perflib_Perfdata_7d0.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 40.344.539.136 Bytes frei



bitte ;)
Dieser Beitrag wurde am 15.04.2007 um 23:17 Uhr von chris69 editiert.
Seitenanfang Seitenende
16.04.2007, 10:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 chris69

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|himem.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SoundMnEx32

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda

Files to delete:
C:\WINDOWS\system32\isrprov.exe
C:\WINDOWS\system32\mspradsn.exe
C:\WINDOWS\system32\msjidpmo.dll
C:\WINDOWS\system32\isrprf32.dll
C:\WINDOWS\system32\msssmsda.dat
C:\WINDOWS\system32\diagisr.dll
C:\WINDOWS\system32\scrilprh.dll
C:\WINDOWS\system32\msssmsda.dll
C:\WINDOWS\shsdmmo.scf
C:\WINDOWS\skcc32.exe
C:\WINDOWS\lx1k01.txt
C:\WINDOWS\npp32.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2007, 13:52
chris69
...neu hier

Beiträge: 5
#23 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uljlocrn

*******************

Script file located at: \??\C:\WINDOWS\system32\viqjjcto.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\isrprov.exe not found!
Deletion of file C:\WINDOWS\system32\isrprov.exe failed!

Could not process line:
C:\WINDOWS\system32\isrprov.exe
Status: 0xc0000034



File C:\WINDOWS\system32\mspradsn.exe not found!
Deletion of file C:\WINDOWS\system32\mspradsn.exe failed!

Could not process line:
C:\WINDOWS\system32\mspradsn.exe
Status: 0xc0000034



File C:\WINDOWS\system32\msjidpmo.dll not found!
Deletion of file C:\WINDOWS\system32\msjidpmo.dll failed!

Could not process line:
C:\WINDOWS\system32\msjidpmo.dll
Status: 0xc0000034



File C:\WINDOWS\system32\isrprf32.dll not found!
Deletion of file C:\WINDOWS\system32\isrprf32.dll failed!

Could not process line:
C:\WINDOWS\system32\isrprf32.dll
Status: 0xc0000034



File C:\WINDOWS\system32\msssmsda.dat not found!
Deletion of file C:\WINDOWS\system32\msssmsda.dat failed!

Could not process line:
C:\WINDOWS\system32\msssmsda.dat
Status: 0xc0000034



File C:\WINDOWS\system32\diagisr.dll not found!
Deletion of file C:\WINDOWS\system32\diagisr.dll failed!

Could not process line:
C:\WINDOWS\system32\diagisr.dll
Status: 0xc0000034



File C:\WINDOWS\system32\scrilprh.dll not found!
Deletion of file C:\WINDOWS\system32\scrilprh.dll failed!

Could not process line:
C:\WINDOWS\system32\scrilprh.dll
Status: 0xc0000034



File C:\WINDOWS\system32\msssmsda.dll not found!
Deletion of file C:\WINDOWS\system32\msssmsda.dll failed!

Could not process line:
C:\WINDOWS\system32\msssmsda.dll
Status: 0xc0000034



File C:\WINDOWS\shsdmmo.scf not found!
Deletion of file C:\WINDOWS\shsdmmo.scf failed!

Could not process line:
C:\WINDOWS\shsdmmo.scf
Status: 0xc0000034



File C:\WINDOWS\skcc32.exe not found!
Deletion of file C:\WINDOWS\skcc32.exe failed!

Could not process line:
C:\WINDOWS\skcc32.exe
Status: 0xc0000034



File C:\WINDOWS\lx1k01.txt not found!
Deletion of file C:\WINDOWS\lx1k01.txt failed!

Could not process line:
C:\WINDOWS\lx1k01.txt
Status: 0xc0000034



File C:\WINDOWS\npp32.exe not found!
Deletion of file C:\WINDOWS\npp32.exe failed!

Could not process line:
C:\WINDOWS\npp32.exe
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|himem.exe
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|himem.exe failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SoundMnEx32
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SoundMnEx32 failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\msssmsda not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\msssmsda failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



16.04.2007 14:00 401.200 perfh009.dat
16.04.2007 14:00 62.480 perfc009.dat
16.04.2007 14:00 415.800 perfh007.dat
16.04.2007 14:00 75.194 perfc007.dat
16.04.2007 14:00 966.250 PerfStringBackup.INI
15.04.2007 23:29 77.804 msssmsda.exe
14.04.2007 19:35 2.850 iklog.log
14.04.2007 13:33 3.002 CONFIG.NT
14.04.2007 09:42 90.112 AvastSS.scr
11.04.2007 11:26 2.206 wpa.dbl
10.04.2007 13:18 712.832 aswBoot.exe
22.03.2007 15:57 98.304 CmdLineExt.dll
13.03.2007 19:25 262.144 wrap_oal.dll
13.03.2007 19:25 86.016 OpenAL32.dll
02.02.2007 22:17 307.200 atiiiexx.dll
02.02.2007 22:04 307.200 ATIDEMGX.dll
02.02.2007 22:03 264.704 ati2dvag.dll
02.02.2007 21:57 118.784 atipdlxx.dll
02.02.2007 21:56 110.592 Oemdspif.dll
02.02.2007 21:56 26.112 Ati2mdxx.exe
02.02.2007 21:56 42.496 ati2edxx.dll
02.02.2007 21:56 110.592 ati2evxx.dll
02.02.2007 21:55 446.464 ati2evxx.exe
02.02.2007 21:54 53.248 ATIDDC.DLL
02.02.2007 21:46 2.827.968 ati3duag.dll
02.02.2007 21:40 1.272.960 ativvaxx.dll
02.02.2007 21:40 3.107.788 ativvaxx.dat
02.02.2007 21:27 241.664 atikvmag.dll
02.02.2007 21:25 17.408 atitvo32.dll
02.02.2007 21:20 348.160 ati2cqag.dll
02.02.2007 21:19 5.312.512 atioglxx.dll
02.02.2007 19:34 520.192 ati2sgag.exe
30.01.2007 18:21 128.813 atiicdxx.dat
05.01.2007 04:27 106.496 atinppt2.ax




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\WINDOWS

16.04.2007 14:02 387.475 WindowsUpdate.log
16.04.2007 13:56 0 0.log
16.04.2007 13:56 159 wiadebug.log
16.04.2007 13:56 50 wiaservc.log
16.04.2007 13:56 2.048 bootstat.dat
16.04.2007 13:55 32.592 SchedLgU.Txt
16.04.2007 09:29 512 ODBC.INI
16.04.2007 07:52 95 winamp.ini
14.04.2007 19:35 886 SpywareDoctor5Uninstall.log
14.04.2007 19:18 40 SpywareDoctor5Install.log
08.04.2007 18:18 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung.txt
08.04.2007 17:51 981.101 setupapi.log
24.03.2007 15:06 457.000 DirectX.log
18.03.2007 23:58 239.174 ntbtlog.txt
18.03.2007 23:27 1.550 ATIWDM.LOG
18.03.2007 01:02 754 WORDPAD.INI
17.03.2007 22:29 615 win.ini
17.03.2007 14:57 177.392 setupact.log
13.03.2007 20:53 4.161 ODBCINST.INI
13.03.2007 19:05 10 WININIT.INI
06.03.2007 15:17 10 ATICIM.MIF
04.03.2007 22:17 283 game.ini
25.02.2007 13:22 12.862 EPISMG00.SWB
07.01.2007 13:50 588 wincmd.ini
02.01.2007 14:34 48.580 wmsetup.log
07.12.2006 17:20 60.416 ALCFDRTM.VER



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\WINDOWS\Temp

16.04.2007 13:56 16.384 Perflib_Perfdata_72c.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 40.558.395.392 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.2006 19:15 65 desktop.ini
07.06.2006 11:09 1.249 erma.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
5 Datei(en) 394.530 Bytes
0 Verzeichnis(se), 40.558.395.392 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: ECD6-35A3

Verzeichnis von C:\

16.04.2007 14:05 0 sys.txt
16.04.2007 14:04 491 down.txt
16.04.2007 14:04 289 tmp.txt
16.04.2007 14:04 5.713 system.txt
16.04.2007 14:04 136 systemtemp.txt
16.04.2007 14:02 100.882 system32.txt
16.04.2007 13:56 7.292 avenger.txt
16.04.2007 13:56 1.610.612.736 pagefile.sys
16.04.2007 09:35 715 crashAddress.txt
14.10.2006 21:29 211 boot.ini
14.10.2006 21:25 47.564 NTDETECT.COM
14.10.2006 21:25 251.184 ntldr
14.10.2006 19:16 0 CONFIG.SYS
14.10.2006 19:16 0 IO.SYS
14.10.2006 19:16 0 MSDOS.SYS
14.10.2006 19:16 0 AUTOEXEC.BAT
18.08.2001 14:00 4.952 bootfont.bin
17 Datei(en) 1.611.032.165 Bytes
0 Verzeichnis(se), 40.558.395.392 Bytes frei
Dieser Beitrag wurde am 16.04.2007 um 14:00 Uhr von chris69 editiert.
Seitenanfang Seitenende
16.04.2007, 16:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 chris69

wende noch mal den avenger an mit :

Zitat

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda

Files to delete:
C:\WINDOWS\system32\msssmsda.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2007, 16:57
chris69
...neu hier

Beiträge: 5
#25 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jcspamlx

*******************

Script file located at: \??\C:\WINDOWS\system32\eitbnbxw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\msssmsda.exe deleted successfully.


Registry key HKLM\SOFTWARE\Microsoft\msssmsda not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\msssmsda failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


mfg chris
Seitenanfang Seitenende
16.04.2007, 18:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 chris69

im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2007, 20:40
chris69
...neu hier

Beiträge: 5
#27 Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 233721 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 19:48:29, System date 16 April 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan


Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Could not open C:\WINDOWS\system32\drivers\sptd.sys

3 boot sectors swept.
33963 files swept in 36 minutes and 32 seconds.
4 errors were encountered.
No viruses were discovered.
3 encrypted files were not checked.
Ending Sophos Anti-Virus.

ich hoffe es war so richtig := , kriege auch noch eine meldung von avast Win32:Opnis-B [Trj]
Dieser Beitrag wurde am 16.04.2007 um 23:44 Uhr von chris69 editiert.
Seitenanfang Seitenende
17.04.2007, 00:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 loesche das backup vom Avenger (findest du im ordner vom Avenger) - leere den Papierkorb und scanne noch mal mit avast - im abgesicherten modus + berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2007, 14:43
JPK90
...neu hier

Beiträge: 4
#29 Hallo,
ich habe auch das problem dasbei mir als C:\WINDOWS\tife32.exe\[Upack] und C:\WINDOWS\system32\msjidpmo.dll angezeigt wird und ich es nicht löschen kann.
hier ist meine hijackthis log
Logfile of HijackThis v1.99.1
Scan saved at 14:35:37, on 17.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\spiele\counter strike\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msssmsda.exe
C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.1und1.de/?__rd=ac1704c2ho2fGvLVfCGUQgYU7Dwom
0TP&origin[site]=MX.EUE.DE&origin[page]=index&ucuoId=MX.EUE.DE-20070
407142613-ac1704c59XrG7Kfz8EcNIUs6FasNUn9h-S1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu59C\toolbaru.dll
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu59C\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fplaunch.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu59C\toolbaru.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "d:\spiele\counter strike\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E07DXLRD_16399000] "C:\Programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE" -m
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: VC Poker - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\VCPOKE~1\client.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O20 - AppInit_DLLs: confbrw.dll brwstat.dll e1.dll msjidpmo.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
Seitenanfang Seitenende
17.04.2007, 14:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 JPK90

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234