Win32:Warezov-BTW [Wrm]

#0
07.04.2007, 12:43
...neu hier

Beiträge: 8
#1 Guten Tag,

seit gestern bekomme ich die Meldung von Avast!, dass "msjidpmo.dll" im system32-Ordner ein Beispiel von "Win32:Warezov-BTW" enthält.

Leider sind keine der von Avast! aufgeführten Optionen (im Anhang ein Screenshot des Pop-ups) effektiv. Die Datei verschwindet, um nach ca. 5 Minuten wieder zu erscheinen.
Im Abgesicherten Modus existiert die angegebene datei erst garnicht.


Meine Desktop-Firewall ist "Fritz!DSL Protect". Hardware-Firewall ist im Router "Fritz!Box WLAN 3070".


Ich hoffe die Informationen genügen um mir helfen zu können.

MfG

Paddyx

Anhang: Wrm.JPG
Seitenanfang Seitenende
07.04.2007, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Paddyx

««
Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einem Ordner
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
---------------------------------------------------------------

««
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2007, 15:17
...neu hier

Themenstarter

Beiträge: 8
#3 Erstmal das Log:


Logfile of HijackThis v1.99.1
Scan saved at 15:16:56, on 07.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\AlienGUIse\wbload.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Steganos Safe 2007\SteganosHotKeyService.exe
C:\Programme\Steganos Safe 2007\SteganosAgent.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\BaroufaSoft\Matrix Screen Locker\matrix.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msssmsda.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Patrick\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fritz.box/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SAFE2007 HotKeys] C:\Programme\Steganos Safe 2007\SteganosHotKeyService.exe
O4 - HKLM\..\Run: [SAFE2007 Agent] C:\Programme\Steganos Safe 2007\SteganosAgent.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Matrix Screen Locker.lnk = C:\Programme\BaroufaSoft\Matrix Screen Locker\matrix.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1111954757515
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{05582FC1-98A3-43E2-99BF-2CE1ABE83BC6}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{05582FC1-98A3-43E2-99BF-2CE1ABE83BC6}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe

Nun die Logs von datfind:

#1

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D43E-B2CF

Verzeichnis von C:\WINDOWS\system32

07.04.2007 15:24 2.422 wpa.dbl
07.04.2007 12:35 24.576 msjidpmo.dll
06.04.2007 17:31 2.550 Uninstall.ico
06.04.2007 17:31 1.406 Help.ico
06.04.2007 17:31 30.590 pavas.ico
06.04.2007 13:24 4 msssmsda.dat
06.04.2007 13:24 20.480 scrilprh.dll
06.04.2007 13:24 16.384 mspradsn.exe
06.04.2007 13:24 98.304 msssmsda.dll

04.04.2007 10:17 924.504 FNTCACHE.DAT
26.03.2007 21:06 43.520 CmdLineExt03.dll
25.03.2007 13:25 380.486 perfh009.dat
25.03.2007 13:25 52.900 perfc009.dat
25.03.2007 13:25 391.330 perfh007.dat
25.03.2007 13:25 63.778 perfc007.dat
25.03.2007 13:25 897.954 PerfStringBackup.INI
23.03.2007 17:14 21.840 SIntfNT.dll
23.03.2007 17:14 12.067 SIntf16.dll
23.03.2007 17:14 17.212 SIntf32.dll
15.03.2007 17:08 173 spupdsvc.inf
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
23.02.2007 18:32 57 peer.ini
#2

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D43E-B2CF

Verzeichnis von C:\DOKUME~1\Patrick\LOKALE~1\Temp

07.04.2007 15:24 1.020 ~ROMFN_00000F5C
07.04.2007 15:24 0 JET44E3.tmp
07.04.2007 15:24 32.768 ~DF8096.tmp
07.04.2007 15:22 32.768 ~DF34F9.tmp
4 Datei(en) 66.556 Bytes
0 Verzeichnis(se), 1.631.825.920 Bytes frei

#3

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D43E-B2CF

Verzeichnis von C:\WINDOWS

07.04.2007 15:24 24 LogonStudio.ini
07.04.2007 15:24 1.247.585 WindowsUpdate.log
07.04.2007 15:24 159 wiadebug.log
07.04.2007 15:23 50 wiaservc.log
07.04.2007 15:23 0 0.log
07.04.2007 15:23 2.048 bootstat.dat
07.04.2007 15:22 32.634 SchedLgU.Txt
06.04.2007 23:29 116 NeroDigital.ini
06.04.2007 23:12 287.716 ntbtlog.txt
06.04.2007 17:31 32 pavsig.txt
06.04.2007 17:31 9.486 setupapi.log
06.04.2007 15:35 109 GMouse.ini
04.04.2007 10:16 94.020 iis6.log
04.04.2007 10:16 2.092 comsetup.log
04.04.2007 10:16 39.494 tsoc.log
04.04.2007 10:16 4.354 tabletoc.log
04.04.2007 10:16 1.355 imsins.log

#4

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D43E-B2CF

Verzeichnis von C:\WINDOWS\Temp

07.04.2007 15:24 409 WGANotify.settings
07.04.2007 15:24 16.384 Perflib_Perfdata_52c.dat
07.04.2007 15:23 255 WGAErrLog.txt
3 Datei(en) 17.048 Bytes
0 Verzeichnis(se), 1.631.817.728 Bytes frei

#5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D43E-B2CF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.01.2007 21:23 2.072 vscanmsx.dat
22.01.2007 02:00 1.207.798 tcscan7.dat
22.01.2007 02:00 32 virscant.dat
22.01.2007 02:00 4.056.384 virscan9.dat
22.01.2007 02:00 1.668.987 virscan8.dat
22.01.2007 02:00 6.010.078 virscan7.dat
22.01.2007 02:00 390.197 virscan6.dat
22.01.2007 02:00 2.504 catalog.dat
22.01.2007 02:00 3.216.884 virscan5.dat
22.01.2007 02:00 320.186 virscan4.dat
22.01.2007 02:00 6.899 ecbootil.vxd
22.01.2007 02:00 147.656 virscan3.dat
22.01.2007 02:00 272.040 ecmsvr32.dll
22.01.2007 02:00 570.042 virscan2.dat
22.01.2007 02:00 976.339 virscan1.dat
22.01.2007 02:00 124.536 naveng32.dll
22.01.2007 02:00 902.776 navex32a.dll
22.01.2007 02:00 106.244 virscan.inf
22.01.2007 02:00 2.269 v.sig
22.01.2007 02:00 97.712 scrauth.dat
22.01.2007 02:00 4.778 v.grd
22.01.2007 02:00 9.237 symaveng.cat
22.01.2007 02:00 1.061 symaveng.inf
22.01.2007 02:00 188.073 tcdefs.dat
22.01.2007 02:00 224 zdone.dat
22.01.2007 02:00 330.699 tcscan8.dat
22.01.2007 02:00 742.316 tcscan9.dat
22.01.2007 02:00 453 tinf.dat
22.01.2007 02:00 148 tinfidx.dat
22.01.2007 02:00 1.957 tinfl.dat
22.01.2007 02:00 64.232 tscan1.dat
22.01.2007 02:00 3.072 tscan1hd.dat

#6

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D43E-B2CF

Verzeichnis von C:\

07.04.2007 15:26 0 sys.txt
07.04.2007 15:26 2.655 down.txt
07.04.2007 15:26 396 tmp.txt
07.04.2007 15:26 7.375 system.txt
07.04.2007 15:26 445 systemtemp.txt
07.04.2007 15:26 112.955 system32.txt
07.04.2007 15:23 1.073.270.784 hiberfil.sys
07.04.2007 15:23 1.610.612.736 pagefile.sys
29.03.2007 14:36 244 sqmnoopt03.sqm
29.03.2007 14:36 268 sqmdata03.sqm
29.03.2007 14:29 268 sqmdata02.sqm
29.03.2007 14:29 244 sqmnoopt02.sqm

So das war's... ich hoffe ich habe alles richtig gemacht?
Schonmal danke falls ich jetzt virenfrei sein sollte *gg*


mfG

Paddyx
Dieser Beitrag wurde am 07.04.2007 um 15:31 Uhr von Paddyx editiert.
Seitenanfang Seitenende
07.04.2007, 19:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Paddyx

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda

Files to delete:
C:\WINDOWS\system32\msjidpmo.dll
C:\WINDOWS\system32\msssmsda.dat
C:\WINDOWS\system32\scrilprh.dll
C:\WINDOWS\system32\mspradsn.exe
C:\WINDOWS\system32\msssmsda.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2007, 19:58
...neu hier

Themenstarter

Beiträge: 8
#5 Gesagt getan.
Nach reboot diese Meldung:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mmpapyhu

*******************

Script file located at: vtdjrxxp

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
Seitenanfang Seitenende
07.04.2007, 22:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 hast du zitat" mit reinkopiert ??? - darf man nicht ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2007, 22:24
...neu hier

Themenstarter

Beiträge: 8
#7 hmmm... *überleg* ... könnte mir schon passiert sein ;)
Hat das den Vorgang beeinträchtigt oder ist der Error das einzige was passiert wenn man eine ungültige Befehlszeile eingibt?


Seit Avanger kommt jetzt auch keine nervige Meldung mehr.

Herzlichen Dank ;)

Du bist echt der größte Feind den sich Virus/Wurm/Spyware vorstellen kann.
Gab bestimmt noch keinen Fall, den du nicht lösen konntest *g* ;) Und ich denke die 26300 Posts sprechen für sich ;)

Ich würde dir echt gerne für deine kostenlosen Dienste was geben, allerdings bin ich nicht volljährig und verfüge über kein Paypal-Konto. ;)



Viel Spaß hier noch beim Viren-killen.
Ich schreib wieder wenn ich was neues entdeckt habe *lol*

MfG
Paddyx



//edit: dann schreib ich's halt hier.... ich bekam gerade wieder die Meldung von Avast!, dass der Wurm gefunden wurde.
Was kann ich dagegen tun?
Dieser Beitrag wurde am 08.04.2007 um 17:39 Uhr von Paddyx editiert.
Seitenanfang Seitenende
10.04.2007, 14:18
...neu hier

Beiträge: 2
#8 ich habe genau dasselbe problem... habe auch schon die logs bereit... allerdings verstehe ich den avenger teil bnicht so recht. hier erstmal die logs:

HiJackthis:

E:\Programme\Privoxy\privoxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Tor\tor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
E:\Programme\snes emulates\zsnesw.exe
C:\WINDOWS\System32\msssmsda.exe
C:\Dokumente und Einstellungen\Terrorganisation\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.peta2.de/p25/sid/no/start.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll (file missing)
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe

O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Vidalia] "E:\Programme\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: GetRight - Tray Icon.lnk = E:\Programme\GetRight\getright.exe
O4 - Global Startup: Privoxy.lnk = E:\Programme\Privoxy\privoxy.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112630356799
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: msjidpmo.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


datFind:

#1

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: DCBD-3D54

Verzeichnis von C:\WINDOWS\system32

10.04.2007 14:10 4 msssmsda.dat
10.04.2007 14:10 24.576 msjidpmo.dll
10.04.2007 14:10 77.804 msssmsda.exe

10.04.2007 14:01 2.206 wpa.dbl
10.04.2007 14:00 87.688 nvapps.xml
06.04.2007 22:12 3.002 CONFIG.NT
06.04.2007 22:04 16.384 mspradsn.exe
06.04.2007 22:04 20.480 scrilprh.dll
06.04.2007 22:04 98.304 msssmsda.dll

04.04.2007 15:48 210.488 FNTCACHE.DAT
25.03.2007 13:34 311.604 perfh009.dat
25.03.2007 13:34 39.992 perfc009.dat
25.03.2007 13:34 316.594 perfh007.dat
25.03.2007 13:34 48.156 perfc007.dat
25.03.2007 13:34 723.744 PerfStringBackup.INI
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
17.02.2007 01:50 122.142 TZLog.log


#2

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: DCBD-3D54

Verzeichnis von C:\DOKUME~1\TERROR~1\LOKALE~1\Temp

10.04.2007 14:10 49.152 ~DFB28D.tmp
10.04.2007 13:01 49.152 ~DF29BE.tmp
10.04.2007 00:19 49.152 ~DF443C.tmp
09.04.2007 13:41 49.152 ~DF5FF3.tmp
09.04.2007 02:25 46.750 java_install_reg.log
08.04.2007 15:55 49.152 ~DF5AF5.tmp
06.04.2007 23:07 49.152 ~DF5DE2.tmp
06.04.2007 22:20 49.152 ~DFA158.tmp
05.04.2007 20:40 163 FEE5E75C.TMP
29.03.2007 20:21 46.080 ~e5d141.tmp
29.03.2007 20:04 12.818 control.xml
27.03.2007 02:00 798.234 IMT3F.xml
27.03.2007 02:00 426 IMT3E.xml
27.03.2007 02:00 2.036 IMT3D.xml
13.03.2007 18:22 0 TempCover4
13.03.2007 12:53 0 TempCover3
12.03.2007 00:32 0 TempCover2
07.03.2007 23:41 798.234 IMT2C.xml
07.03.2007 23:41 426 IMT2B.xml


#3

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: DCBD-3D54

Verzeichnis von C:\WINDOWS

10.04.2007 14:01 1.222.187 WindowsUpdate.log
10.04.2007 14:01 0 0.log
10.04.2007 14:01 159 wiadebug.log
10.04.2007 14:01 50 wiaservc.log
10.04.2007 14:00 54.156 QTFont.qfn
10.04.2007 14:00 2.048 bootstat.dat
10.04.2007 13:59 32.566 SchedLgU.Txt
08.04.2007 20:39 382.202 setupapi.log
07.04.2007 00:22 1.409 QTFont.for
07.04.2007 00:22 0 shsdmmo.scf
06.04.2007 22:21 3.144.800 lx1k01.txt

04.04.2007 10:18 1.026.630 iis6.log
04.04.2007 10:18 285.064 comsetup.log
04.04.2007 10:18 175.579 ntdtcsetup.log
04.04.2007 10:18 1.355 imsins.log
04.04.2007 10:18 44.604 ocmsn.log
04.04.2007 10:18 35.232 tabletoc.log

#4

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: DCBD-3D54

Verzeichnis von C:\WINDOWS\Temp

10.04.2007 14:06 409 WGANotify.settings
10.04.2007 14:00 255 WGAErrLog.txt
09.04.2007 13:31 16.384 Perflib_Perfdata_e4.dat
08.04.2007 15:46 16.384 Perflib_Perfdata_31c.dat
12.03.2007 11:04 16.384 Perflib_Perfdata_a0.dat
11.03.2007 20:15 16.384 Perflib_Perfdata_b8.dat
10.03.2007 12:29 16.384 Perflib_Perfdata_f0.dat
08.03.2007 15:25 16.384 Perflib_Perfdata_2a0.dat
05.03.2007 18:59 16.384 Perflib_Perfdata_90.dat
03.03.2007 02:06 16.384 Perflib_Perfdata_e0.dat
03.03.2007 01:40 16.384 Perflib_Perfdata_dc.dat
01.03.2007 17:54 16.384 Perflib_Perfdata_cc.dat
28.02.2007 01:18 16.384 Perflib_Perfdata_6e4.dat
28.02.2007 01:16 16.384 Perflib_Perfdata_4c4.dat
27.02.2007 14:49 16.384 Perflib_Perfdata_48c.dat
23.02.2007 21:06 16.384 Perflib_Perfdata_1b4.dat
20.02.2007 22:31 16.384 Perflib_Perfdata_4bc.dat
19.02.2007 12:48 16.384 Perflib_Perfdata_528.dat
19.02.2007 01:40 16.384 Perflib_Perfdata_380.dat
16.02.2007 13:06 16.384 Perflib_Perfdata_3f0.dat
16.02.2007 01:19 16.384 Perflib_Perfdata_4ec.dat
11.02.2007 21:24 16.384 Perflib_Perfdata_548.dat
09.02.2007 14:25 16.384 Perflib_Perfdata_494.dat
08.02.2007 16:23 16.384 Perflib_Perfdata_34c.dat
06.02.2007 19:58 16.384 Perflib_Perfdata_3b4.dat
06.02.2007 17:40 16.384 Perflib_Perfdata_3f4.dat
06.02.2007 00:33 16.384 Perflib_Perfdata_438.dat
30.01.2007 17:00 16.384 Perflib_Perfdata_354.dat
29.01.2007 15:15 16.384 Perflib_Perfdata_2dc.dat
28.01.2007 15:53 16.384 Perflib_Perfdata_470.dat
26.01.2007 19:58 16.384 Perflib_Perfdata_308.dat
26.01.2007 16:08 16.384 Perflib_Perfdata_458.dat
25.01.2007 16:26 16.384 Perflib_Perfdata_26c.dat
24.01.2007 10:15 16.384 Perflib_Perfdata_334.dat
23.01.2007 17:01 16.384 Perflib_Perfdata_1a8.dat
20.01.2007 13:59 16.384 Perflib_Perfdata_80.dat
19.01.2007 13:42 16.384 Perflib_Perfdata_42c.dat
18.01.2007 10:15 16.384 Perflib_Perfdata_3cc.dat
17.01.2007 09:14 16.384 Perflib_Perfdata_41c.dat
16.01.2007 14:13 16.384 Perflib_Perfdata_324.dat
15.01.2007 17:09 16.384 Perflib_Perfdata_370.dat
15.01.2007 10:30 16.384 Perflib_Perfdata_2f4.dat
12.01.2007 23:41 16.384 Perflib_Perfdata_488.dat

#5

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: DCBD-3D54

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.12.2006 17:27 1.249 erma.inf
27.03.2006 13:00 5.019 swflash.inf
25.08.2005 16:37 3.833.856 NPSibelius.dll
25.08.2005 16:26 297 setup.inf
04.04.2005 17:20 65 desktop.ini
16.03.2005 09:09 1.115.848 EPUWALcontrol.dll
15.03.2005 12:59 539 EPUWALcontrol.inf
03.08.2004 14:51 293 wuweb.inf
09.10.2003 10:32 144 QTPlugin.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
10 Datei(en) 4.958.999 Bytes
0 Verzeichnis(se), 1.053.609.984 Bytes frei

#6

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: DCBD-3D54

Verzeichnis von C:\

10.04.2007 14:11 0 sys.txt
10.04.2007 14:11 752 down.txt
10.04.2007 14:11 32.947 tmp.txt
10.04.2007 14:11 12.693 system.txt
10.04.2007 14:11 177.467 systemtemp.txt
10.04.2007 14:11 103.539 system32.txt
10.04.2007 14:00 805.306.368 pagefile.sys
13.01.2007 00:09 211 boot.ini
05.04.2005 20:18 47.564 NTDETECT.COM
05.04.2005 20:18 251.184 ntldr
04.04.2005 17:21 0 IO.SYS
04.04.2005 17:21 0 CONFIG.SYS
04.04.2005 17:21 0 AUTOEXEC.BAT
04.04.2005 17:21 0 MSDOS.SYS
18.08.2001 12:00 4.952 bootfont.bin
15 Datei(en) 805.937.677 Bytes
0 Verzeichnis(se), 1.053.609.984 Bytes frei

ich bitte inständig um hilfe, was muss ich jetzt machen? habe auch diesen komischen wurm "Win32:Warezov-BTW [Wrm]" und avast kriegt ihn nicht weg, da er ständig neu kommt.
Seitenanfang Seitenende
10.04.2007, 14:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 ruuu

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|himem.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundMnEx32

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda

Files to delete:
C:\WINDOWS\skcc32.exe
C:\WINDOWS\lx1k01.txt
C:\WINDOWS\shsdmmo.scf
C:\WINDOWS\system32\msssmsda.dat
C:\WINDOWS\system32\msjidpmo.dll
C:\WINDOWS\system32\msssmsda.exe
C:\WINDOWS\system32\mspradsn.exe
C:\WINDOWS\system32\scrilprh.dll
C:\WINDOWS\system32\msssmsda.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2007, 14:50
...neu hier

Beiträge: 2
#10 es wird ein fatal error gemeldet.
angeblich kann die script file nicht erstellt werden


edit: ok hat anscheinend doch geklappt ich reboote mal eben


ediedit:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cviopjao

*******************

Script file located at: \??\C:\WINDOWS\system32\pkjopbke.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\skcc32.exe not found!
Deletion of file C:\WINDOWS\skcc32.exe failed!

Could not process line:
C:\WINDOWS\skcc32.exe
Status: 0xc0000034

File C:\WINDOWS\lx1k01.txt deleted successfully.
File C:\WINDOWS\shsdmmo.scf deleted successfully.
File C:\WINDOWS\system32\msssmsda.dat deleted successfully.
File C:\WINDOWS\system32\msjidpmo.dll deleted successfully.
File C:\WINDOWS\system32\msssmsda.exe deleted successfully.
File C:\WINDOWS\system32\mspradsn.exe deleted successfully.
File C:\WINDOWS\system32\scrilprh.dll deleted successfully.
File C:\WINDOWS\system32\msssmsda.dll deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|himem.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundMnEx32 deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\msssmsda deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

scheint geklappt zu haben... jetzt warte ich ab und hoffe.

@ sabina:

kannst du mir vielleicht deine kontodaten geben statt das über paypal zu machen? würde dir gerne was geben, aber ich bin nicht so paypal bewandert und mag das dann auch lieber über den kobnventionellen weg machen.
wenn das für dich ok ist
Dieser Beitrag wurde am 10.04.2007 um 15:01 Uhr von ruuu editiert.
Seitenanfang Seitenende
10.04.2007, 21:47
...neu hier

Beiträge: 7
#11 Ich habe auch das Problem. Bekomme seit 2 Tagen immer wieder die Nachricht von Avast! msjidpmo.dll
Was muss ich jetzt machen um ihn wieder los zu werden. Habe schon ein paar Programme drüberlaufen lassen aber bekomme die Nachricht immer wieder!

Könnte wirkich hilfe gebrauchen.

So habe jetzt die Daten als erstes hijackthis.log



Logfile of HijackThis v1.99.1
Scan saved at 21:50:15, on 10.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
E:\christian\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\msssmsda.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\christian\sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\CHRIST~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] E:\christian\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\christian\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: msjidpmo.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

Jetzt Datfindbat
1
Verzeichnis von C:\WINDOWS\system32

10.04.2007 21:28 4 msssmsda.dat
09.04.2007 14:11 77.804 msssmsda.exe.ren
09.04.2007 12:25 35.440 sschk.trb
09.04.2007 12:25 360.016 trupd.trb
09.04.2007 12:25 299.088 trjscan.trb
09.04.2007 12:24 2.214 iklog.log
08.04.2007 13:42 1.782.336 rmt.trb

08.04.2007 12:24 2.206 wpa.dbl
06.04.2007 15:35 20.480 scrilprh.dll
06.04.2007 15:35 16.384 mspradsn.exe
06.04.2007 15:35 98.304 msssmsda.dll

25.03.2007 17:09 305.652 perfh009.dat
25.03.2007 17:09 310.384 perfh007.dat
25.03.2007 17:09 38.094 perfc009.dat
25.03.2007 17:09 46.068 perfc007.dat
25.03.2007 17:09 705.468 PerfStringBackup.INI
13.03.2007 14:50 991.808 rmvtrjan.trb
20.02.2007 21:36 9.857 jupdate-1.5.0_11-b03.log
21.01.2007 22:25 3.002 CONFIG.NT
15.01.2007 19:32 689.280 aswBoot.exe
15.01.2007 19:23 90.112 AVASTSS.scr
15.01.2007 15:27 9.132 jupdate-1.5.0_10-b03.log
15.12.2006 04:09 127.078 javaws.exe

2
Verzeichnis von C:\DOKUME~1\Romy\LOKALE~1\Temp

10.04.2007 22:04 23.144 jusched.log
10.04.2007 20:27 49.152 ~DF1570.tmp
09.04.2007 19:38 49.152 ~DF6C33.tmp
09.04.2007 14:34 49.152 ~DF8FE7.tmp
09.04.2007 14:11 49.152 ~DFE003.tmp
09.04.2007 14:04 16.384 ~DF87D6.tmp
09.04.2007 14:04 16.384 ~DF87BB.tmp
09.04.2007 14:04 16.384 ~DF879E.tmp
09.04.2007 14:04 16.384 ~DF8783.tmp
09.04.2007 14:03 16.384 ~DF1C90.tmp
09.04.2007 14:03 16.384 ~DF1C71.tmp
09.04.2007 14:03 16.384 ~DF1C4A.tmp
09.04.2007 14:03 16.384 ~DF1C2B.tmp
09.04.2007 14:03 16.384 ~DF4B9.tmp
09.04.2007 14:02 16.384 ~DF4DBB.tmp
09.04.2007 12:53 49.152 ~DFC787.tmp
09.04.2007 12:45 16.384 ~DF5F6.tmp
09.04.2007 12:45 16.384 ~DFF887.tmp
09.04.2007 12:29 49.152 ~DFF74E.tmp
09.04.2007 12:08 49.152 ~DF29CA.tmp
08.04.2007 17:09 49.152 ~DFB270.tmp
08.04.2007 16:23 16.384 ~DF5AAF.tmp
08.04.2007 16:23 16.384 ~DF5505.tmp
08.04.2007 12:34 49.152 ~DFB6CD.tmp
06.04.2007 15:35 49.152 ~DF1F3D.tmp
05.04.2007 18:00 118 DFC5A2B2.TMP
04.04.2007 17:37 16.384 ~DF423.tmp
04.04.2007 17:37 16.384 ~DF9878.tmp
03.04.2007 17:50 12.818 control.xml
03.04.2007 17:38 16.384 ~DFF917.tmp
03.04.2007 17:38 16.384 ~DF8111.tmp
31.03.2007 20:19 16.384 ~DFEEF2.tmp
31.03.2007 20:19 16.384 ~DFEED7.tmp
31.03.2007 20:19 16.384 ~DFEEBC.tmp
31.03.2007 20:19 16.384 ~DFEE9D.tmp
31.03.2007 19:32 16.384 ~DFF075.tmp
31.03.2007 19:32 16.384 ~DFB152.tmp
30.03.2007 16:35 16.384 ~DF91F7.tmp
30.03.2007 16:35 16.384 ~DF9819.tmp
24.03.2007 10:13 16.384 ~DFA304.tmp
24.03.2007 10:13 16.384 ~DF9BB0.tmp
17.03.2007 20:05 16.384 ~DFC2C2.tmp
17.03.2007 20:05 16.384 ~DF775B.tmp
15.03.2007 21:09 4.329 java_install_reg.log
15.03.2007 19:54 426 MSI5ecca.LOG
12.03.2007 22:56 512 ~DF194A.tmp
12.03.2007 22:56 344.064 ~DF1870.tmp
11.03.2007 17:29 16.384 ~DFA07C.tmp
11.03.2007 17:28 512 ~DF900C.tmp
11.03.2007 17:28 16.384 ~DF8FFC.tmp
06.03.2007 23:18 16.384 ~DF5A18.tmp
06.03.2007 23:18 16.384 ~DF5591.tmp
04.03.2007 23:15 16.384 ~DF7EAA.tmp
04.03.2007 23:15 16.384 ~DF57D4.tmp
03.03.2007 23:40 16.384 ~DFDEAD.tmp
03.03.2007 23:40 16.384 ~DF9BF0.tmp
03.03.2007 13:39 16.384 ~DFDC13.tmp
03.03.2007 13:39 16.384 ~DF9287.tmp
01.03.2007 19:11 16.384 ~DFE334.tmp
01.03.2007 19:11 512 ~DF7FD3.tmp
01.03.2007 19:11 16.384 ~DF7EE2.tmp
24.02.2007 15:19 16.384 ~DF8645.tmp
24.02.2007 15:19 16.384 ~DF8075.tmp
20.02.2007 21:33 1.156 jinstall.cfg
17.02.2007 19:53 52.092 69fb_appcompat.txt
17.02.2007 18:49 16.384 ~DF3505.tmp
17.02.2007 18:49 16.384 ~DF3038.tmp
15.02.2007 22:21 0 gtb5.tmp
12.02.2007 22:27 16.384 ~DFC192.tmp
12.02.2007 22:27 16.384 ~DFA372.tmp
11.02.2007 16:51 16.384 ~DF3109.tmp
11.02.2007 16:51 16.384 ~DF17AC.tmp
08.02.2007 22:00 16.384 ~DF386D.tmp
08.02.2007 22:00 16.384 ~DF3373.tmp
07.02.2007 21:38 16.384 ~DF9E12.tmp
07.02.2007 21:38 16.384 ~DF7E1E.tmp
04.02.2007 22:52 16.384 ~DF513B.tmp
04.02.2007 22:52 16.384 ~DF47A3.tmp
04.02.2007 20:31 16.384 ~DF80F4.tmp
04.02.2007 20:31 16.384 ~DF7164.tmp
04.02.2007 00:19 16.384 ~DFF771.tmp
04.02.2007 00:19 16.384 ~DF88F7.tmp
28.01.2007 15:58 16.384 ~DFAA01.tmp
28.01.2007 15:58 16.384 ~DF66DF.tmp
27.01.2007 14:14 16.384 ~DFD3C9.tmp
27.01.2007 14:14 16.384 ~DF8E79.tmp
25.01.2007 18:50 16.384 ~DF60ED.tmp
25.01.2007 18:50 16.384 ~DF4483.tmp
24.01.2007 23:07 16.384 ~DF1D33.tmp
24.01.2007 23:07 16.384 ~DF108D.tmp
22.01.2007 23:22 16.384 ~DF25CA.tmp
22.01.2007 23:22 16.384 ~DF210C.tmp
21.01.2007 22:22 16.384 ~DFA85B.tmp
21.01.2007 22:22 16.384 ~DF8B2C.tmp
21.01.2007 09:03 16.384 ~DFFF23.tmp
21.01.2007 09:03 16.384 ~DF9716.tmp
20.01.2007 15:02 16.384 ~DFD010.tmp
20.01.2007 15:02 16.384 ~DFCB81.tmp
20.01.2007 14:57 348 wecerr.txt
20.01.2007 10:28 16.384 ~DFE542.tmp
20.01.2007 10:28 16.384 ~DF85B4.tmp
19.01.2007 20:34 16.384 ~DF3EF0.tmp
19.01.2007 20:34 16.384 ~DF3ED3.tmp
19.01.2007 20:34 16.384 ~DF3EB4.tmp
19.01.2007 20:34 16.384 ~DF3E97.tmp
19.01.2007 19:50 426 MSIfb6e.LOG
19.01.2007 19:19 16.384 ~DFC909.tmp
19.01.2007 19:19 16.384 ~DF8F1A.tmp
17.01.2007 21:49 16.384 ~DF4B33.tmp
17.01.2007 21:49 16.384 ~DF1192.tmp
15.01.2007 21:25 16.384 ~DFE917.tmp
15.01.2007 21:25 16.384 ~DFE8FC.tmp
15.01.2007 21:25 16.384 ~DFE8E1.tmp
15.01.2007 21:25 16.384 ~DFE8C4.tmp
15.01.2007 21:24 16.384 ~DFBA4F.tmp
15.01.2007 21:24 16.384 ~DFB57E.tmp
15.01.2007 21:19 16.384 ~DFEEF3.tmp
15.01.2007 21:19 16.384 ~DFEEBD.tmp
15.01.2007 21:19 16.384 ~DFEE96.tmp
15.01.2007 21:19 16.384 ~DFED84.tmp
15.01.2007 21:18 16.384 ~DFA5B3.tmp
15.01.2007 21:18 16.384 ~DFA596.tmp
15.01.2007 21:18 16.384 ~DFA57B.tmp
15.01.2007 21:18 16.384 ~DFA560.tmp
15.01.2007 21:14 32.768 ~DF575E.tmp
15.01.2007 21:13 16.384 ~DF52BF.tmp
15.01.2007 21:09 16.384 ~DF239D.tmp
15.01.2007 21:09 16.384 ~DF237C.tmp
15.01.2007 21:09 16.384 ~DF2353.tmp
15.01.2007 21:09 16.384 ~DF2338.tmp
15.01.2007 15:26 47.072 java_install.log
15.01.2007 14:59 16.384 ~DFC883.tmp
15.01.2007 14:58 16.384 ~DF8235.tmp
12.01.2007 11:41 16.384 ~DF5489.tmp
12.01.2007 11:41 16.384 ~DF4FEB.tmp
12.01.2007 10:17 725 TWAIN.LOG
12.01.2007 10:17 3 Twain001.Mtx
12.01.2007 10:17 156 Twunk001.MTX
11.01.2007 16:42 16.384 ~DF9C95.tmp
11.01.2007 16:42 16.384 ~DF9956.tmp
09.01.2007 22:35 32.768 ~DF61DC.tmp
07.01.2007 23:33 0 LAU24.tmp
05.01.2007 21:34 0 LAU33.tmp
05.01.2007 20:57 0 LAU2D.tmp
05.01.2007 20:57 0 LAU2B.tmp
05.01.2007 20:33 0 LAU29.tmp
05.01.2007 20:31 0 LAU27.tmp
05.01.2007 20:27 0 LAU25.tmp
05.01.2007 20:25 0 LAU23.tmp
05.01.2007 20:18 0 LAU21.tmp
05.01.2007 20:17 0 LAU1E.tmp
03.01.2007 20:40 0 LAU2F.tmp
01.01.2007 23:32 16.384 ~DF6D41.tmp
01.01.2007 23:32 16.384 ~DF68B1.tmp
01.01.2007 21:09 32.768 ~DF35E4.tmp
01.01.2007 20:14 32.768 ~DF8214.tmp
01.01.2007 18:19 32.768 ~DFF41F.tmp

3

Verzeichnis von C:\WINDOWS

10.04.2007 22:06 423.870 WindowsUpdate.log
10.04.2007 22:00 0 0.log
10.04.2007 21:59 2.048 bootstat.dat
10.04.2007 21:57 32.608 SchedLgU.Txt
10.04.2007 20:21 49.916 cFosSpeed_Setup_Log.txt
10.04.2007 20:21 696.981 setupapi.log
09.04.2007 23:11 216 wiadebug.log
09.04.2007 22:35 50 wiaservc.log
09.04.2007 12:41 686 SpywareDoctor5Uninstall.log
09.04.2007 12:12 40 SpywareDoctor5Install.log
08.04.2007 13:43 0 shsdmmo.scf
06.04.2007 15:37 435 system.ini
03.04.2007 17:59 54.486 wmsetup.log
06.02.2007 22:10 34 cdplayer.ini
29.12.2006 20:28 175.962 setupact.log

4Verzeichnis von C:\WINDOWS\Temp

08.04.2007 12:25 16.384 Perflib_Perfdata_154.dat
03.04.2007 20:23 118 DFC5A2B2.TMP
01.04.2007 18:35 16.384 Perflib_Perfdata_1e8.dat
29.03.2007 19:28 16.384 Perflib_Perfdata_1fc.dat
20.03.2007 19:27 16.384 Perflib_Perfdata_148.dat
18.03.2007 12:23 16.384 Perflib_Perfdata_190.dat
16.03.2007 19:05 16.384 Perflib_Perfdata_204.dat
12.03.2007 21:35 16.384 Perflib_Perfdata_184.dat
11.03.2007 17:27 16.384 Perflib_Perfdata_1d4.dat
01.03.2007 19:10 16.384 Perflib_Perfdata_1ec.dat
24.02.2007 10:13 16.384 Perflib_Perfdata_15c.dat
18.02.2007 13:22 16.384 Perflib_Perfdata_7f0.dat
15.02.2007 22:13 16.384 Perflib_Perfdata_108.dat
11.02.2007 21:24 16.384 Perflib_Perfdata_1b0.dat
05.02.2007 19:20 16.384 Perflib_Perfdata_1d0.dat
29.01.2007 19:10 16.384 Perflib_Perfdata_7e0.dat
27.01.2007 04:01 16.384 Perflib_Perfdata_1c4.dat
27.01.2007 00:35 16.384 Perflib_Perfdata_194.dat
26.01.2007 23:03 16.384 Perflib_Perfdata_1cc.dat
26.01.2007 22:54 16.384 Perflib_Perfdata_7dc.dat
26.01.2007 22:10 16.384 Perflib_Perfdata_fc.dat
25.01.2007 19:08 16.384 Perflib_Perfdata_79c.dat
18.01.2007 18:53 16.384 Perflib_Perfdata_200.dat
04.01.2007 18:56 16.384 Perflib_Perfdata_180.dat
30.12.2006 19:41 16.384 Perflib_Perfdata_f4.dat

5
Keine Einträge in den letzten 3 Monaten

6
Verzeichnis von C:\

10.04.2007 22:11 0 sys.txt
10.04.2007 22:10 404 down.txt
10.04.2007 22:09 4.297 tmp.txt
10.04.2007 22:08 5.560 system.txt
10.04.2007 22:08 23.754 systemtemp.txt
10.04.2007 22:06 95.763 system32.txt
10.04.2007 21:59 805.306.368 pagefile.sys

So ich hoffe ihr könnt mir helfen
Dieser Beitrag wurde am 10.04.2007 um 22:19 Uhr von quentin910 editiert.
Seitenanfang Seitenende
11.04.2007, 10:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 quentin910

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\msssmsda
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|himem.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundMnEx32

Files to delete:
C:\WINDOWS\system32\msssmsda.dat
C:\WINDOWS\system32\msssmsda.exe.ren
C:\WINDOWS\system32\sschk.trb
C:\WINDOWS\system32\trupd.trb
C:\WINDOWS\system32\trjscan.trb
C:\WINDOWS\system32\iklog.log
C:\WINDOWS\system32\rmt.trb
C:\WINDOWS\system32\scrilprh.dll
C:\WINDOWS\system32\mspradsn.exe
C:\WINDOWS\system32\msssmsda.dll
C:\WINDOWS\system32\rmvtrjan.trb
C:\WINDOWS\shsdmmo.scf
C:\WINDOWS\skcc32.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2007, 18:20
...neu hier

Beiträge: 7
#13 Danke Danke danke! Habe gerade alles so gemacht und hoffe das jetzt nichts mehr kommt!
Sieht aber wirklich gut aus.
Ne Freundin von mir hat genau das selbe Problem. Ist es immer das selbe was in den Avenger kopiert werden muss oder müsste sie die daten auch noch mal schicken??
Seitenanfang Seitenende
12.04.2007, 18:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 du musst die daten neu posten - jede Verseuchung ist anders.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2007, 03:36
...neu hier

Beiträge: 1
#15 ich habe genau dasselbe problem... habe auch schon die logs bereit...

Logfile of HijackThis v1.99.1
Scan saved at 03:21:49, on 13.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\cFosSpeed\spd.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
D:\utorrent\utorrent.exe
C:\WINDOWS\System32\msssmsda.exe
C:\PROGRA~1\WinTV\Ir.exe
C:\Dokumente und Einstellungen\FlaVoR\Desktop\YASU.exe
D:\Gamma4\Leecher-Mod G4.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\spiele\Command & Conquer 3\cnc3.exe
D:\spiele\Command & Conquer 3\RetailExe\1.4\cnc3game.dat
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Xfire\Xfire.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\Programme\CleanUp!\Cleanup.exe
C:\DOKUME~1\FlaVoR\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {EDB94E4E-BE7C-4B5F-9D97-BE4B10A103A5} - C:\WINDOWS\system32\mciple16.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe
O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\system32\ifcconf.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: SATARAID5.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

system32:
Datentr„ger in Laufwerk C: ist SCSI16_VOL1
Volumeseriennummer: 188E-C830

Verzeichnis von c:\

13.04.2007 04:27 0 dirdat.txt
26.03.2007 02:29 275 Verknpfung mit Lokaler Datentr„ger (D).lnk
24.03.2007 04:52 164 uniTvTv.log
24.03.2007 02:04 1.024 .rnd
24.03.2007 00:49 0 IO.SYS
24.03.2007 00:49 0 AUTOEXEC.BAT
24.03.2007 00:49 0 MSDOS.SYS
24.03.2007 00:49 0 CONFIG.SYS
24.03.2007 00:45 211 boot.ini
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 ntdetect.com
04.08.2004 14:00 4.952 bootfont.bin
12 Datei(en) 305.374 Bytes
0 Verzeichnis(se), 40.461.242.368 Bytes frei
Datentr„ger in Laufwerk C: ist SCSI16_VOL1
Volumeseriennummer: 188E-C830

Verzeichnis von C:\WINDOWS\system32

13.04.2007 04:05 88.566 nvapps.xml
13.04.2007 03:43 2.206 wpa.dbl
13.04.2007 01:40 16.384 mspradsn.exe
12.04.2007 17:54 24.576 msjidpmo.dll
12.04.2007 03:54 20.480 scrilprh.VIR000
12.04.2007 03:54 16.384 mspradsn.VIR
12.04.2007 02:55 24.576 msjidpmo.VIR000
12.04.2007 01:55 20.480 scrilprh.VIR000.VIR
12.04.2007 01:54 24.576 msjidpmo.VIR000.VIR
12.04.2007 01:54 77.804 msssmsda.VIR
11.04.2007 03:36 4.699 MRT.INI
11.04.2007 03:35 45.056 isrprf32.dll.VIR
11.04.2007 03:35 40.960 isrprov.exe.VIR
11.04.2007 03:35 49.152 diagisr.VIR
11.04.2007 03:30 146.650 BuzzingBee.wav
11.04.2007 03:30 940.794 LoopyMusic.wav
10.04.2007 21:10 4 msssmsda.dat
07.04.2007 17:51 126.976 ifcstat.dll.VIR
07.04.2007 17:51 49.152 ifcprf32.dll.VIR
07.04.2007 17:51 53.248 confifc.dll.VIR
07.04.2007 17:51 40.960 ifcperf.exe.VIR
06.04.2007 21:48 77.804 msssmsda.exe.ren.VIR
06.04.2007 19:27 49.152 diagisr.dll.ren.VIR
06.04.2007 14:19 20.480 scrilprh.VIR
06.04.2007 14:19 16.384 mspradsn.exe.VIR
06.04.2007 14:19 24.576 msjidpmo.VIR
06.04.2007 14:19 98.304 msssmsda.dll.VIR
05.04.2007 03:22 96.664 FNTCACHE.DAT
03.04.2007 22:48 13.511.640 MRT.exe
27.03.2007 21:26 32.164 mciple16.dll
26.03.2007 00:17 0 nmp.log
25.03.2007 22:52 0 _nvidia_xxx_.log
25.03.2007 13:35 108.144 CmdLineExt.dll
25.03.2007 07:55 74.988 perfc007.dat
25.03.2007 07:55 62.286 perfc009.dat
25.03.2007 07:55 415.124 perfh007.dat
25.03.2007 07:55 400.624 perfh009.dat
25.03.2007 07:55 965.398 PerfStringBackup.INI
24.03.2007 18:00 4.652 iklog.log
24.03.2007 06:02 13.210 app_filter_ui.log
24.03.2007 04:52 5.221 UnEPGService.LOG
24.03.2007 04:52 30 UNWISE.INI
24.03.2007 04:52 56.611 HCW_ChanDB.LOG
24.03.2007 04:33 34.064 lhacm.acm
24.03.2007 03:04 0 h323log.txt
24.03.2007 02:33 3.223 jupdate-1.4.2_04-b05.log
24.03.2007 02:27 37.888 setupnt.dll
24.03.2007 02:27 131.072 snapapi.dll
24.03.2007 00:51 647 $winnt$.inf
24.03.2007 00:51 122.142 TZLog.log
24.03.2007 00:49 2.951 CONFIG.NT
24.03.2007 00:49 16.832 amcompat.tlb
24.03.2007 00:49 23.392 nscompat.tlb
24.03.2007 00:48 488 WindowsLogon.manifest
24.03.2007 00:48 488 logonui.exe.manifest
24.03.2007 00:48 749 sapi.cpl.manifest
24.03.2007 00:48 749 ncpa.cpl.manifest
24.03.2007 00:48 749 nwc.cpl.manifest
24.03.2007 00:48 749 cdplayer.exe.manifest
24.03.2007 00:48 749 wuaucpl.cpl.manifest
24.03.2007 00:47 21.740 emptyregdb.dat
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 02:24 123.392 xpsp3res.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
05.02.2007 22:18 185.856 upnphost.dll

Verzeichnis von C:\WINDOWS

13.04.2007 03:46 0 0.log
13.04.2007 03:45 159 wiadebug.log
13.04.2007 03:45 50 wiaservc.log
13.04.2007 03:45 367.045 WindowsUpdate.log
13.04.2007 03:45 2.048 bootstat.dat
13.04.2007 03:42 6.516 SchedLgU.Txt
11.04.2007 03:30 60.416 ALCFDRTM.VER
11.04.2007 03:30 60.416 ALCFDRTM.EXE
11.04.2007 03:04 81.742 iis6.log
11.04.2007 03:04 26.263 comsetup.log
11.04.2007 03:04 14.221 ntdtcsetup.log
11.04.2007 03:04 24.518 tsoc.log
11.04.2007 03:04 2.807 tabletoc.log
11.04.2007 03:04 2.595 ocmsn.log
11.04.2007 03:04 12.623 KB931784.log
11.04.2007 03:04 1.374 imsins.log
11.04.2007 03:04 41.708 ocgen.log
11.04.2007 03:04 8.205 netfxocm.log
11.04.2007 03:04 3.612 MedCtrOC.log
11.04.2007 03:04 2.416 msgsocm.log
11.04.2007 03:04 42.483 FaxSetup.log
11.04.2007 03:03 19.756 msmqinst.log
11.04.2007 03:03 10.034 KB931261.log
11.04.2007 03:03 1.374 imsins.BAK
11.04.2007 03:02 10.339 KB930178.log
11.04.2007 03:02 1.844 updspapi.log
11.04.2007 03:01 10.380 KB932168.log
10.04.2007 23:02 0 tcsrahrk2.reg
10.04.2007 07:33 6.260 HCWPNP.INI
07.04.2007 17:12 634.471 setupapi.log
06.04.2007 16:10 0 shsdmmo.scf
04.04.2007 16:15 9.458 KB925902.log
03.04.2007 03:28 1.776 vtplus32.ini
31.03.2007 19:33 87 setup.log
30.03.2007 20:45 290.816 Setup1.exe
30.03.2007 20:45 74.752 ST6UNST.EXE
27.03.2007 22:33 140.528 DirectX.log
27.03.2007 16:50 302 nsw.log
27.03.2007 16:50 19.069 cFosSpeed_Setup_Log.txt
26.03.2007 23:52 196.344 setupact.log
26.03.2007 00:50 998 eReg.dat
26.03.2007 00:17 0 nmp.log
26.03.2007 00:17 0 _nvidia_xxx_.log
25.03.2007 22:55 514 xpsp1hfm.log
25.03.2007 22:55 660 KB823980.log
25.03.2007 07:02 1.152 mozver.dat
25.03.2007 06:56 741 SpywareDoctor5Uninstall.log
24.03.2007 04:53 188 Server.log
24.03.2007 04:52 29.998 Irremote.ini
24.03.2007 04:52 605 KB896626.log
24.03.2007 04:52 135 ODBC.INI
24.03.2007 04:52 4.161 ODBCINST.INI
24.03.2007 04:41 5.094 wmsetup.log
24.03.2007 03:32 6.363 Ascd_tmp.ini
24.03.2007 03:15 0 nsreg.dat
24.03.2007 00:54 829 OEWABLog.txt
24.03.2007 00:53 843.213 setuplog.txt
24.03.2007 00:53 8.192 REGLOCS.OLD
24.03.2007 00:51 15.557 KB931836.log
24.03.2007 00:49 0 control.ini
24.03.2007 00:49 507 win.ini
24.03.2007 00:49 316.640 WMSysPr9.prx
24.03.2007 00:48 749 WindowsShell.Manifest
24.03.2007 00:47 1.023 sessmgr.setup.log
24.03.2007 00:46 36 vb.ini
24.03.2007 00:46 37 vbaddin.ini
24.03.2007 00:46 133 DtcInstall.log
24.03.2007 00:45 200 cmsetacl.log
24.03.2007 00:43 0 Sti_Trace.log
24.03.2007 00:41 2.034 regopt.log
24.03.2007 00:41 231 system.ini
24.03.2007 00:38 0 setuperr.log
15.11.2004 12:20 77.824 SOUNDMAN.EXE
05.11.2004 10:29 208.896 alcupd.exe
01.09.2004 14:04 139.264 alcrmv.exe
04.08.2004 14:00 70.144 NOTEPAD.EXE
04.08.2004 14:00 80 explorer.scf
04.08.2004 14:00 16.730 Feder.bmp
04.08.2004 14:00 65.978 Seifenblase.bmp
04.08.2004 14:00 26.680 F„cher.bmp
04.08.2004 14:00 15.872 TASKMAN.EXE
04.08.2004 14:00 82.944 clock.avi
04.08.2004 14:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 14:00 94.800 twain.dll
04.08.2004 14:00 2 desktop.ini
04.08.2004 14:00 49.680 twunk_16.exe
04.08.2004 14:00 25.600 twunk_32.exe
04.08.2004 14:00 707 _default.pif
04.08.2004 14:00 65.832 Santa Fe-Stuck.bmp
04.08.2004 14:00 17.362 Rhododendron.bmp
04.08.2004 14:00 18.944 vmmreg32.dll
04.08.2004 14:00 153.600 regedit.exe
04.08.2004 14:00 17.336 Angler.bmp
04.08.2004 14:00 1.035.264 explorer.exe
04.08.2004 14:00 65.954 Pr„riewind.bmp
04.08.2004 14:00 524.288 opuc.dll
04.08.2004 14:00 50.688 twain_32.dll
04.08.2004 14:00 257.568 winhelp.exe
04.08.2004 14:00 288.768 winhlp32.exe
04.08.2004 14:00 48.680 winnt.bmp
04.08.2004 14:00 48.680 winnt256.bmp
04.08.2004 14:00 34.818 wmprfDEU.prx
04.08.2004 14:00 26.582 Granit.bmp
04.08.2004 14:00 17.062 Kaffeetasse.bmp
04.08.2004 14:00 10.752 hh.exe
04.08.2004 14:00 9.522 Zapotek.bmp
04.08.2004 14:00 1.405 msdfmap.ini

Verzeichnis von C:\DOKUME~1\FlaVoR\LOKALE~1\Temp

13.04.2007 04:05 436 jusched.log
1 Datei(en) 436 Bytes
0 Verzeichnis(se), 40.460.820.480 Bytes frei

Dass ist leider alles was ich an logs aus der datFind.bat rausquetschen konnte.
Hoffe das reicht um diesen Virus loszuwerden...

Greez FlaVoR
Dieser Beitrag wurde am 13.04.2007 um 04:59 Uhr von FlaVoR editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: