Ärger mit Warezov

#0
09.04.2007, 04:11
...neu hier

Beiträge: 3
#1 Nun, ich bin seit gestern glücklicher Besitzter einiger neuen Viren ... *hüstel*
Zugleich bin ich in dem GLauben einige alte bekante aktive überreste wiederzufinden, (Program Zango, welches garnicht mehr exestieren dürfte auf dem Rechner...)
Nun vorab, ich bin absoluter neuling auf dem gebiet und hoffe alles wichtige jetzt anzugeben.

Avast findet zurzeit regelmäßig (ca alle 50 min nach löschen)
erst:
msjidpmo.dll im Ordner C:\WINDOWS\System32 , also Win32:Warezov-BTW [Wrm]
kurz darauf noch
tife31.exe im Ordner C:\WINDOWS , sprich Win32:Warezov-BUB [Wrm]

Dazu noch die gewünschten logs:
diese sind angeordnet nach:
1.) Hijackthis
2.) Clean Up! (bestätigung das ich es gemacht hab ;P )
3.) Combofix (hoffendlich richtig gemacht)
4.) datfind

1.) Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 03:58:31, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\msssmsda.exe
E:\hijackthis\avenger.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: msjidpmo.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



und

2.) Clean Up! - Ja gemacht


3.) Combofix:

"Falk Lawerenz" - 07-04-09 4:04:14 Service Pack 2
ComboFix 07-04-05 - Running from: "E:\hijackthis"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\install.log


((((((((((((((((((((((((((((((( Files Created from 2007-03-09 to 2007-04-09 ))))))))))))))))))))))))))))))))))


2007-04-09 03:49 <DIR> d-------- C:\WINDOWS\LastGood
2007-04-09 00:18 77,804 --a------ C:\WINDOWS\system32\msssmsda.exe
2007-04-08 17:17 <DIR> d--h----- C:\WINDOWS\PIF
2007-04-08 15:58 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-04-08 15:57 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-04-08 15:57 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-04-08 15:57 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-04-08 15:57 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-04-08 15:57 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-04-08 15:57 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-04-08 15:57 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-04-08 15:57 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-04-08 15:57 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-04-08 15:11 98,304 --a------ C:\WINDOWS\system32\msssmsda.dll
2007-04-08 15:11 4 --a------ C:\WINDOWS\system32\msssmsda.dat
2007-04-08 15:11 20,480 --a------ C:\WINDOWS\system32\scrilprh.dll
2007-04-08 15:11 16,384 --a------ C:\WINDOWS\system32\mspradsn.exe
2007-04-07 20:38 <DIR> d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\GetRightToGo
2007-04-03 02:56 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-04-02 15:03 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-04-02 15:03 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-04-02 15:03 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-04-02 15:03 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-04-02 15:03 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-03-21 17:00 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-03-21 16:57 262,144 --a------ C:\DOKUME~1\ALLUSE~1\ntuser.dat
2007-03-21 16:57 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-03-21 16:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
2007-03-17 17:44 <DIR> d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\OpenOffice.org2
2007-03-17 17:41 <DIR> d-------- C:\Programme\OpenOffice.org 2.1
2007-03-15 21:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-03-15 21:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-03-15 21:22 <DIR> d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\Real
2007-03-15 21:19 <DIR> d-------- C:\Meine Downloads


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-09 04:03 6882 --a------ C:\DOKUME~1\FALKLA~1\ANWEND~1\wklnhst.dat
2007-04-09 03:48 63580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-09 03:48 391000 --a------ C:\WINDOWS\system32\perfh007.dat
2007-04-04 15:06 -------- d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\teamspeak2
2007-03-30 19:21 -------- d--h----- C:\Programme\installshield installation information
2007-03-17 20:24 83360 --a------ C:\WINDOWS\war3unin.dat
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-20 00:23 -------- d-------- C:\Programme\logitech
2007-02-14 14:26 -------- d-------- C:\Programme\winamp
2007-02-12 00:29 21504 --a------ C:\WINDOWS\jestertb.dll
2007-01-30 02:46 69632 --a------ C:\WINDOWS\system32\kemxml.dll
2007-01-30 02:46 163840 --a------ C:\WINDOWS\system32\kemutb.dll
2007-01-30 02:46 135168 --a------ C:\WINDOWS\system32\kemutil.dll
2007-01-30 02:46 110592 --a------ C:\WINDOWS\system32\kemwnd.dll
2007-01-15 19:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe
2007-01-15 19:23 90112 --a------ C:\WINDOWS\system32\avastss.scr


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"Logitech Utility"="Logi_MwX.Exe"
"zango"="\"c:\\programme\\zango\\zango.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"himem.exe"="C:\\WINDOWS\\skcc32.exe -s"
"SoundMnEx32"="C:\\WINDOWS\\skcc32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="msjidpmo.dll"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msssmsda

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WdfLoadGroup

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-09 4:05:53
C:\ComboFix-quarantined-files.txt ... 07-04-09 04:05




4.) datfind


1#

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C33-3B33

Verzeichnis von C:\WINDOWS\system32

09.04.2007 04:09 4 msssmsda.dat
09.04.2007 03:48 380.350 perfh009.dat
09.04.2007 03:48 52.764 perfc009.dat
09.04.2007 03:48 391.000 perfh007.dat
09.04.2007 03:48 63.580 perfc007.dat
09.04.2007 03:48 872.024 PerfStringBackup.INI
09.04.2007 03:45 2.206 wpa.dbl
09.04.2007 03:08 77.804 msssmsda.exe
09.04.2007 00:14 50.257 nvapps.xml
08.04.2007 15:58 108.144 CmdLineExt.dll
08.04.2007 15:11 20.480 scrilprh.dll
08.04.2007 15:11 16.384 mspradsn.exe
08.04.2007 15:11 98.304 msssmsda.dll
05.04.2007 04:29 239.144 FNTCACHE.DAT
15.03.2007 21:23 185.952 rmoc3260.dll
15.03.2007 21:23 5.632 pndx5032.dll
15.03.2007 21:23 6.656 pndx5016.dll
15.03.2007 21:23 278.528 pncrt.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 13:36 12.619.736 MRT.exe
18.02.2007 04:42 3.002 CONFIG.NT
16.02.2007 04:01 122.142 TZLog.log


2#

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C33-3B33

Verzeichnis von C:\DOKUME~1\FALKLA~1\LOKALE~1\Temp

09.04.2007 00:18 49.152 ~DFFD6F.tmp
1 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 12.058.759.168 Bytes frei



3#

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C33-3B33

Verzeichnis von C:\WINDOWS

09.04.2007 03:54 1.770.752 WindowsUpdate.log
09.04.2007 03:49 2.746 WgaNotify.log
09.04.2007 03:49 980.795 setupapi.log
09.04.2007 00:09 0 0.log
09.04.2007 00:08 2.048 bootstat.dat
08.04.2007 23:14 32.536 SchedLgU.Txt
08.04.2007 17:14 0 shsdmmo.scf
08.04.2007 15:57 168.263 DirectX.log
05.04.2007 03:01 107.461 iis6.log
05.04.2007 03:01 142.808 ntdtcsetup.log
05.04.2007 03:01 236.342 comsetup.log
05.04.2007 03:01 1.355 imsins.log
05.04.2007 03:01 38.544 ocmsn.log
05.04.2007 03:01 269.401 tsoc.log
05.04.2007 03:01 14.751 KB925902.log
05.04.2007 03:01 344.677 ocgen.log
05.04.2007 03:01 35.119 msgsocm.log
05.04.2007 03:01 693.514 FaxSetup.log
05.04.2007 03:01 63.660 updspapi.log
02.04.2007 15:03 2.072 vminst.log
26.03.2007 07:04 50 wiaservc.log
26.03.2007 07:04 216 wiadebug.log
23.03.2007 04:00 1.374 imsins.BAK
23.03.2007 04:00 12.458 KB928090-IE7.log
23.03.2007 04:00 15.415 KB929969.log
21.03.2007 17:02 84.338 spupdsvc.log
21.03.2007 17:01 24.725 ie7_main.log
21.03.2007 17:00 50.174 ie7.log
21.03.2007 16:59 13.123 IDNMitigationAPIs.log
21.03.2007 16:58 12.811 NLSDownlevelMapping.log
21.03.2007 16:58 9.864 KB915865.log
21.03.2007 16:57 4.941 KB914440.log
21.03.2007 16:57 29.030 KB928090.log
21.03.2007 16:56 10.951 KB904942.log
21.03.2007 16:28 55.029 wmsetup.log
17.03.2007 20:24 83.360 War3Unin.dat
15.03.2007 08:13 9.237 KB929399.log
15.03.2007 08:13 11.945 KB929338.log
20.02.2007 00:24 86 KE.log
20.02.2007 00:24 29.978 DPINST.LOG
20.02.2007 00:24 203.672 setupact.log
16.02.2007 04:01 19.016 KB927779.log
16.02.2007 04:01 15.716 KB927802.log
16.02.2007 04:01 16.231 KB928255.log
16.02.2007 04:01 12.738 KB924667.log
16.02.2007 04:01 25.177 KB931836.log
16.02.2007 04:01 14.680 KB926436.log
16.02.2007 04:01 15.204 KB918118.log
16.02.2007 04:00 10.605 KB928843.log
12.02.2007 00:29 21.504 jestertb.dll




4#

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C33-3B33

Verzeichnis von C:\WINDOWS\Temp

09.04.2007 00:08 16.384 Perflib_Perfdata_67c.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 12.058.746.880 Bytes frei



5#

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C33-3B33

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 17:44 367 LegitCheckControl.inf
09.11.2006 14:36 5.019 swflash.inf
16.05.2006 16:29 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 7.310 Bytes
0 Verzeichnis(se), 12.058.746.880 Bytes frei



6#

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C33-3B33

Verzeichnis von C:\

09.04.2007 04:16 0 sys.txt
09.04.2007 04:16 545 down.txt
09.04.2007 04:15 289 tmp.txt
09.04.2007 04:14 11.298 system.txt
09.04.2007 04:13 295 systemtemp.txt
09.04.2007 04:12 103.317 system32.txt
09.04.2007 04:05 7.695 ComboFix.txt
09.04.2007 04:05 242 ComboFix-quarantined-files.txt
09.04.2007 00:08 1.610.612.736 pagefile.sys
07.04.2007 20:37 25 lotro key.txt




Danke im vorraus.
Seitenanfang Seitenende
09.04.2007, 11:17
Moderator

Beiträge: 7804
#2 Leiste bitte etwas vorarbeit:
Aktualisiere Avast, starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Avast dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben.

Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de


Dann den Rechner neu starten, poste den Bericht, den Avastr und Cureit im abgesicherten Modus erstellt hat und dazu noch ein aktuelles Combofix undHijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen).
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2007, 17:24
...neu hier

Themenstarter

Beiträge: 3
#3 hmm. ich hate anfang ein paar Probleme, Avast hat sich nicht starten wollen (aktiver virus, PC wird bei hochfahren gescant usw.) dabei entdeckte er:

04/09/2007 13:45
Scan aller lokalen Laufwerke
Datei C:\System Volume Information\_restore{375B9244-F723-4E4B-A75D-A779C6319554}\RP324\A0035811.dll ist infiziert von Win32:Warezov-BTW [Wrm], In Container verschoben
Datei D:\Winamp\Plugins\vis_avs.dat Fehler 0xC000009C {STATUS_DEVICE_DATA_ERROR}
Datei D:\Winamp\Plugins\vis_avs.dll Fehler 0xC000009C {STATUS_DEVICE_DATA_ERROR}

Anzahl durchsuchter Ordner: 5473
Anzahl der geprüften Dateien: 55163
Anzahl infizierter Dateien: 1



Nun, danach fuhr er weiter hoch, ließ Avast nahc updates suchen - gab keine.

PC runtergefahren und anweisungen befolgt, ergebnis:

1.) Avast
2.) DrWeb Cureit
3.) Combofix
4.) Hijackthis


1.) Avast

Avast hat erneut msjidpmo gefunden, dies ließ sich aber nicht in den container verschieben ich hab es umbennen lassen und verschieben lassen, wird aber auch gleich bei DrWeb gefunden usw. mehr war aber auch nicht (und aus irgendeinem grund finde ich in keinem report einen eintrag grade oO )



darauf hin DrWeb genutzt:



2.) DrWeb Cureit

msssmsda.dll;c:\windows\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
msssmsda.exe;c:\windows\system32;Win32.HLLM.Limar;Gelöscht.;
mirc.exe;E:\dl programme\Weisseradler-Script 1.071;Program.mIRC.616;;
Weisseradler-Script.exe;E:\dl programme\Weisseradler-Script 1.071;Program.mIRC.603;;
5CBCC1BBd01;C:\Dokumente und Einstellungen\Falk Lawerenz\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\yavnfztp.default\Cac;Win32.HLLM.Limar;Gelöscht.;
msjidpmo.dll.vir;C:\Programme\Alwil Software\Avast4\DATA\moved;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
npclntax.dll;C:\Programme\Mozilla Firefox\plugins;Adware.Zango;Nicht desinfizierbar.Gelöscht.;
A0035820.exe;C:\System Volume Information\_restore{375B9244-F723-4E4B-A75D-A779C6319554}\RP324;Win32.HLLM.Limar;Gelöscht.;
msjidpmo.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Gelöscht.;
mspradsn.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Gelöscht.;
msssmsda.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;
msssmsda.exe;C:\WINDOWS\system32;Win32.HLLM.Limar;Gelöscht.;
scrilprh.dll;C:\WINDOWS\system32;Win32.HLLM.Limar;Wird nach dem Neustart desinfiziert.;



und jetzt noch



3.) Combofix

"Falk Lawerenz" - 07-04-09 17:28:49 Service Pack 2
ComboFix 07-04-05 - Running from: "E:\hijackthis"


((((((((((((((((((((((((((((((( Files Created from 2007-03-09 to 2007-04-09 ))))))))))))))))))))))))))))))))))


2007-04-09 17:12 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-04-09 15:45 <DIR> d-------- C:\DOKUME~1\ADMINI~1\DoctorWeb
2007-04-09 14:24 786,432 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-04-09 14:24 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-04-09 14:24 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-04-09 14:24 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-04-09 14:24 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-04-09 14:24 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-04-09 14:24 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-04-09 14:24 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-04-09 04:11 668 --a------ C:\datFind.bat
2007-04-08 17:17 <DIR> d--h----- C:\WINDOWS\PIF
2007-04-08 15:58 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-04-08 15:57 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-04-08 15:57 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-04-08 15:57 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-04-08 15:57 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-04-08 15:57 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-04-08 15:57 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-04-08 15:57 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-04-08 15:57 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-04-08 15:57 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-04-08 15:11 4 --a------ C:\WINDOWS\system32\msssmsda.dat
2007-04-07 20:38 <DIR> d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\GetRightToGo
2007-04-03 02:56 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-04-02 15:03 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-04-02 15:03 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-04-02 15:03 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-04-02 15:03 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-04-02 15:03 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-03-21 17:00 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-03-21 16:57 262,144 --a------ C:\DOKUME~1\ALLUSE~1\ntuser.dat
2007-03-21 16:57 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-03-21 16:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
2007-03-17 17:44 <DIR> d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\OpenOffice.org2
2007-03-17 17:41 <DIR> d-------- C:\Programme\OpenOffice.org 2.1
2007-03-15 21:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-03-15 21:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-03-15 21:22 <DIR> d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\Real
2007-03-15 21:19 <DIR> d-------- C:\Meine Downloads


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-09 04:19 6882 --a------ C:\DOKUME~1\FALKLA~1\ANWEND~1\wklnhst.dat
2007-04-09 03:48 63580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-09 03:48 391000 --a------ C:\WINDOWS\system32\perfh007.dat
2007-04-04 15:06 -------- d-------- C:\DOKUME~1\FALKLA~1\ANWEND~1\teamspeak2
2007-03-30 19:21 -------- d--h----- C:\Programme\installshield installation information
2007-03-17 20:24 83360 --a------ C:\WINDOWS\war3unin.dat
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-20 00:23 -------- d-------- C:\Programme\logitech
2007-02-14 14:26 -------- d-------- C:\Programme\winamp
2007-02-12 00:29 21504 --a------ C:\WINDOWS\jestertb.dll
2007-01-30 02:46 69632 --a------ C:\WINDOWS\system32\kemxml.dll
2007-01-30 02:46 163840 --a------ C:\WINDOWS\system32\kemutb.dll
2007-01-30 02:46 135168 --a------ C:\WINDOWS\system32\kemutil.dll
2007-01-30 02:46 110592 --a------ C:\WINDOWS\system32\kemwnd.dll
2007-01-15 19:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe
2007-01-15 19:23 90112 --a------ C:\WINDOWS\system32\avastss.scr


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"Logitech Utility"="Logi_MwX.Exe"
"zango"="\"c:\\programme\\zango\\zango.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"himem.exe"="C:\\WINDOWS\\skcc32.exe -s"
"SoundMnEx32"="C:\\WINDOWS\\skcc32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="msjidpmo.dll"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msssmsda

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WdfLoadGroup

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-09 17:30:15
C:\ComboFix-quarantined-files.txt ... 07-04-09 17:30
C:\ComboFix2.txt ... 07-04-09 04:05



und jetzt noch:


4.) Hijackthis (umgetauft auf test.com)

Logfile of HijackThis v1.99.1
Scan saved at 17:31:54, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
E:\hijackthis\test.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: msjidpmo.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Ich hoffe ich hab alles richtig gemacht.
Seitenanfang Seitenende
09.04.2007, 17:30
Moderator

Beiträge: 7804
#4 Das war schon in Ordnung. Nun hake in Hijackthis folgende Eintraege an und druecke fix checked:

O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skcc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skcc32.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: msjidpmo.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Starte neu und schaue, ob die Eintraege noch verschwunden sind. Scaheu ebenfalls unter Software nach einem Eintrag "Zango" und deinstalliere es, loesche danach den Ordner c:\programme\zango\zango.exe .

Zur sicherheit mache bitte noch ein Scan mit Blacklight: http://virus-protect.org/artikel/tools/rootkithook.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2007, 17:51
...neu hier

Themenstarter

Beiträge: 3
#5 Hijackthis nach löschen und neustart nicht wiedergefunden

Zango NICHT GEFUNDEN!!! nürgens... kann aber daran liegen das ich das schon vor monaten gemacht hab :> *hüstel* deswegen meinte ich, dass das garnet mehr aktiv sein dürfte

Blacklight: (nur so nebenbei, die Anleitung scheint nicht mehr ganz aktuell zu sein :> deswegen hoffe ich jetzt nix falsches gemacht zu haben)


erm, es gab keine logs, und auch keine founds...


Wenn es das schon war vielen vielen vielen dank. ich vergötter dich, euch =D
Seitenanfang Seitenende
09.04.2007, 18:17
Moderator

Beiträge: 7804
#6 Ich denke das wars!;) Du kannst aber noch einen 'Kontrollscan mit F-secure machen: http://support.f-secure.de/ger/home/ols.shtml
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: