Worm\warezov.hx und Worm\stration.gen

#0
12.04.2007, 13:55
Member

Beiträge: 11
#1 Hallo.. War so dumm und hab einen der ICQ links geöffnent -.- nun laggt mein pc gewaltig. hab schon ein paar sachen versucht die ich im netz gefunden hab (u.a inner registry APPInit_Dlls gelöscht, kehren aber wieder). Nun wende ich mich an euch. Hoffe ihr könnt mir helfen!

Schonmal vielen Dank für eure Mühen!

Logfile of HijackThis v1.99.1
Scan saved at 13:50:08, on 12.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\SAV32CLI\SAV32CLI.EXE
C:\WINDOWS\System32\ifcconf.exe
C:\WINDOWS\System32\crypmapi.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Standard\Desktop\Security, System Cleaner etc\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\System32\ifcconf.exe
O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerReg Scheduler.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\DOKUME~1\Standard\LOKALE~1\Temp\RarSFX29\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\DOKUME~1\Standard\LOKALE~1\Temp\RarSFX29\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112701524562
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: wmplmspo.dll confifc.dll ifcstat.dll
O20 - Winlogon Notify: crypmapi - C:\WINDOWS\System32\crypmapi.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\WINDOWS\system32

12.04.2007 13:36 4 crypmapi.dat
12.04.2007 13:36 77.997 crypmapi.exe
12.04.2007 13:36 126.976 ifcstat.dll
12.04.2007 13:36 53.248 confifc.dll
12.04.2007 03:44 45.056 ifcconf.exe
07.04.2007 11:13 331.776 ifcmgr32.dll
07.04.2007 11:13 40.960 ifcperf.exe

07.04.2007 10:02 1.158 wpa.dbl
30.03.2007 16:39 98.304 crypmapi.dll
25.03.2007 12:06 400.818 perfh009.dat
25.03.2007 12:06 62.798 perfc009.dat
25.03.2007 12:06 411.890 perfh007.dat
25.03.2007 12:06 75.240 perfc007.dat
25.03.2007 12:06 963.264 PerfStringBackup.INI
22.02.2007 22:05 9.799 jupdate-1.5.0_11-b03.log
30.01.2007 18:42 370.488 FNTCACHE.DAT
25.01.2007 23:11 12 dlrdate.dll
02.01.2007 21:59 0 tmp.txt
02.01.2007 21:59 3.460 tmp.reg

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\DOKUME~1\Standard\LOKALE~1\Temp

12.04.2007 13:51 289 datFind.zip
12.04.2007 13:50 16.384 ~DF9F2.tmp
12.04.2007 13:31 22.259 jusched.log
12.04.2007 02:19 124 delus.ini
11.04.2007 13:51 24.170 java_install_reg.log
11.04.2007 11:55 378.094 GRD$LOGFILE.LOG
08.04.2007 23:16 0 WMP96.tmp
08.04.2007 23:15 0 WMP95.tmp
08.04.2007 13:40 0 WMP25.tmp
08.04.2007 13:35 0 WMP24.tmp
08.04.2007 13:31 12.818 control.xml
08.04.2007 13:31 0 WMP23.tmp
08.04.2007 13:26 0 WMP22.tmp
07.04.2007 01:38 109 9FD637EA.TMP
30.03.2007 14:50 43 blocker.gif
28.03.2007 17:37 695 TWAIN.LOG
28.03.2007 17:37 3 Twain001.Mtx
28.03.2007 17:37 156 Twunk001.MTX
28.03.2007 17:34 59.964 Adobelm_Cleanup.0001
27.03.2007 18:12 25.088 9d5627.mst
18.03.2007 18:06 0 fla3A.tmp
18.03.2007 17:28 20.409 sop_ad.jpg
18.03.2007 00:56 19.968 22.xls
14.03.2007 20:14 43 blind.gif
11.03.2007 14:23 281 wahtmltmp00.htm
10.03.2007 18:56 1.020 ~ROMFN_000004FC
10.03.2007 15:06 177 play.gif
04.03.2007 18:35 0 fla4E.tmp
04.03.2007 18:34 44 PPLive.tmp
04.03.2007 18:34 798 tmp.Asx
04.03.2007 18:33 265 tmp.xml
04.03.2007 18:33 0 ppludt.ini
04.03.2007 14:55 0 WMP21.tmp
04.03.2007 14:53 0 WMP20.tmp
24.02.2007 00:56 0 WMP39.tmp
22.02.2007 22:05 0 java_install.log
22.02.2007 22:04 1.156 jinstall.cfg
21.02.2007 19:33 0 WMP47.tmp
15.02.2007 16:49 2.765.897 flyer.exe
10.02.2007 21:08 10 ZendOptimizer.MemoryBase@Standard
09.02.2007 19:48 241.130 WHT22.tmp.html
09.02.2007 19:48 0 WHT22.tmp
03.02.2007 01:28 0 WMP32.tmp
03.02.2007 01:28 0 WMP31.tmp
03.02.2007 01:27 0 WMP30.tmp
03.02.2007 01:27 0 WMP2F.tmp
03.02.2007 01:26 0 WMP29.tmp
01.02.2007 19:13 0 WMP57.tmp
01.02.2007 19:07 0 WMP56.tmp
29.01.2007 19:56 466 Install-log.txt
29.01.2007 19:56 1.300 ad12E.tmp
29.01.2007 19:47 13.587 dcclpdata.dwg
29.01.2007 19:47 10.966 dcclpdata.bak
29.01.2007 19:44 59.964 AdskCleanup.0001
29.01.2007 19:44 4.072 AutoCAD 2006 Setup.log
29.01.2007 19:44 13.432.482 AcadInstall.log
29.01.2007 19:37 1.103 langpackSetup.log
29.01.2007 12:27 19.456 Mannschaftsliste.xls
28.01.2007 16:29 0 WMP1F.tmp
28.01.2007 16:24 0 WMP1E.tmp
28.01.2007 16:17 0 WMP1D.tmp
28.01.2007 16:16 0 WMP1C.tmp
28.01.2007 16:15 0 WMP1B.tmp
28.01.2007 16:15 0 WMP1A.tmp
24.01.2007 22:49 18.432 25.xls
20.01.2007 00:54 17.976.688 Install_Messenger.exe
16.01.2007 15:49 1.993.676 Setup-SopCast-1.1.0-2007-01-16.exe
14.01.2007 13:04 1.020 ~ROMFN_00000F34


12.04.2007 13:39 0 dbgcfg.tmp
12.04.2007 13:39 0 wmvcfg.tmp
12.04.2007 13:39 0 jpgcfg.tmp

12.04.2007 13:33 400.071 WindowsUpdate.log
12.04.2007 13:27 6.104 ModemLog_Bluetooth DUN Modem.txt
12.04.2007 13:27 6.098 ModemLog_Bluetooth Fax Modem.txt
12.04.2007 13:27 0 0.log
12.04.2007 13:27 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
12.04.2007 13:27 159 wiadebug.log
12.04.2007 13:27 50 wiaservc.log
12.04.2007 13:25 32.634 SchedLgU.Txt
12.04.2007 13:14 230 dwxlqhmd.txt
12.04.2007 03:33 954.810 ntbtlog.txt
10.04.2007 22:47 0 tcsrahrk2.reg

10.04.2007 12:48 116 NeroDigital.ini
08.04.2007 13:31 356.971 wmsetup.log
28.03.2007 20:07 151 PhotoSnapViewer.INI
15.03.2007 15:15 195.814 DirectX.log
14.03.2007 20:15 1.360.362 setupapi.log
12.03.2007 19:15 274 system.ini
28.02.2007 21:58 1.081 win.ini
25.02.2007 14:16 965 PVAStrumento.ini
23.02.2007 16:44 38 AviSplitter.INI
15.01.2007 11:44 77.824 DUMP4eeb.tmp

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\WINDOWS\Temp

07.04.2007 15:45 133.602 070404_082736.jpg

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\

12.04.2007 13:54 0 sys.txt
12.04.2007 13:53 1.203 down.txt
12.04.2007 13:53 613 tmp.txt
12.04.2007 13:53 13.077 system.txt
12.04.2007 13:52 6.425 systemtemp.txt
12.04.2007 13:52 134.355 system32.txt
12.04.2007 13:26 804.835.328 hiberfil.sys
12.04.2007 13:26 2.658 avenger.txt

ich hoffe ich habe alle benötigten logs gepostet!
Dieser Beitrag wurde am 12.04.2007 um 16:16 Uhr von matzen editiert.
Seitenanfang Seitenende
12.04.2007, 17:22
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

hoffe alles (und nicht zuviel ;o) erwischt zu haben:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\System32\crypmapi.dat
C:\WINDOWS\System32\crypmapi.exe
C:\WINDOWS\System32\ifcstat.dll
C:\WINDOWS\System32\confifc.dll
C:\WINDOWS\System32\ifcconf.exe
C:\WINDOWS\System32\ifcmgr32.dll
C:\WINDOWS\System32\ifcperf.exe
C:\WINDOWS\System32\crypmapi.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\System32\ifcconf.exe
O20 - AppInit_DLLs: wmplmspo.dll confifc.dll ifcstat.dll
O20 - Winlogon Notify: crypmapi - C:\WINDOWS\System32\crypmapi.dll


Poste die Logs und ein neues Log von Hijackthis

scanne mit sophos und poste den scanreport
http://virus-protect.org/multiavtool.html

Chris
Seitenanfang Seitenende
12.04.2007, 17:53
Member

Themenstarter

Beiträge: 11
#3 den multi av kann ich leider nicht runterladen. hast evtl noch nen anderen?!
hier schonmal nen hijackthis log und der avenger log.. scheint soweit alles ok zu sein

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ouhrgpfl

*******************

Script file located at: \??\C:\WINDOWS\System32\vnrjcxyy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\crypmapi.dat deleted successfully.
File C:\WINDOWS\System32\crypmapi.exe deleted successfully.
File C:\WINDOWS\System32\ifcstat.dll deleted successfully.
File C:\WINDOWS\System32\confifc.dll deleted successfully.
File C:\WINDOWS\System32\ifcconf.exe deleted successfully.
File C:\WINDOWS\System32\ifcmgr32.dll deleted successfully.


File C:\WINDOWS\System32\ifcperf.exe not found!
Deletion of file C:\WINDOWS\System32\ifcperf.exe failed!

Could not process line:
C:\WINDOWS\System32\ifcperf.exe
Status: 0xc0000034

File C:\WINDOWS\System32\crypmapi.dll deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag deleted successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Logfile of HijackThis v1.99.1
Scan saved at 17:47:32, on 12.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Standard\Desktop\Security, System Cleaner etc\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerReg Scheduler.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\DOKUME~1\Standard\LOKALE~1\Temp\RarSFX29\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\DOKUME~1\Standard\LOKALE~1\Temp\RarSFX29\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112701524562
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
12.04.2007, 21:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 matzen

1.
wende CleanUp an
http://virus-protect.org/cleanup.html

2.
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2007, 11:59
Member

Themenstarter

Beiträge: 11
#5 Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\WINDOWS\system32

07.04.2007 10:02 1.158 wpa.dbl
25.03.2007 12:06 400.818 perfh009.dat
25.03.2007 12:06 62.798 perfc009.dat
25.03.2007 12:06 411.890 perfh007.dat
25.03.2007 12:06 75.240 perfc007.dat
25.03.2007 12:06 963.264 PerfStringBackup.INI
22.02.2007 22:05 9.799 jupdate-1.5.0_11-b03.log
30.01.2007 18:42 370.488 FNTCACHE.DAT
25.01.2007 23:11 12 dlrdate.dll

Temp leer

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\WINDOWS

13.04.2007 11:56 405.905 WindowsUpdate.log
13.04.2007 11:24 6.104 ModemLog_Bluetooth DUN Modem.txt
13.04.2007 11:24 6.098 ModemLog_Bluetooth Fax Modem.txt
13.04.2007 11:23 0 0.log
13.04.2007 11:23 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
13.04.2007 11:23 159 wiadebug.log
13.04.2007 11:23 50 wiaservc.log
12.04.2007 22:28 32.634 SchedLgU.Txt
12.04.2007 16:20 1.378.630 setupapi.log
12.04.2007 13:14 230 dwxlqhmd.txt
12.04.2007 03:33 954.810 ntbtlog.txt
10.04.2007 22:47 0 tcsrahrk2.reg
10.04.2007 12:48 116 NeroDigital.ini
08.04.2007 13:31 356.971 wmsetup.log
28.03.2007 20:07 151 PhotoSnapViewer.INI
15.03.2007 15:15 195.814 DirectX.log
12.03.2007 19:15 274 system.ini
28.02.2007 21:58 1.081 win.ini
25.02.2007 14:16 965 PVAStrumento.ini
23.02.2007 16:44 38 AviSplitter.INI

C:\Windows\Temp --> leer


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C8E6-AEA1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

12.04.2007 16:26 2.072 vscanmsx.dat
11.04.2007 01:00 224 zdone.dat
11.04.2007 01:00 32 virscant.dat
11.04.2007 01:00 4.332.926 virscan9.dat
11.04.2007 01:00 1.716.738 virscan8.dat
11.04.2007 01:00 2.504 catalog.dat
11.04.2007 01:00 7.734.738 virscan7.dat
11.04.2007 01:00 390.509 virscan6.dat
11.04.2007 01:00 6.899 ecbootil.vxd
11.04.2007 01:00 3.645.661 virscan5.dat
11.04.2007 01:00 271.992 ecmsvr32.dll
11.04.2007 01:00 320.253 virscan4.dat
11.04.2007 01:00 148.448 virscan3.dat
11.04.2007 01:00 570.504 virscan2.dat
11.04.2007 01:00 981.096 virscan1.dat
11.04.2007 01:00 106.244 virscan.inf
11.04.2007 01:00 2.269 v.sig
11.04.2007 01:00 4.778 v.grd
11.04.2007 01:00 3.113 tscan1hd.dat
11.04.2007 01:00 65.183 tscan1.dat
11.04.2007 01:00 1.957 tinfl.dat
11.04.2007 01:00 148 tinfidx.dat
11.04.2007 01:00 120.440 naveng32.dll
11.04.2007 01:00 902.776 navex32a.dll
11.04.2007 01:00 453 tinf.dat
11.04.2007 01:00 805.427 tcscan9.dat
11.04.2007 01:00 97.744 scrauth.dat
11.04.2007 01:00 344.301 tcscan8.dat
11.04.2007 01:00 1.424.666 tcscan7.dat
11.04.2007 01:00 1.061 symaveng.inf
11.04.2007 01:00 11.875 symaveng.cat
11.04.2007 01:00 189.953 tcdefs.dat

Verzeichnis von C:\

13.04.2007 11:59 0 sys.txt
13.04.2007 11:59 3.209 down.txt
13.04.2007 11:58 110 tmp.txt
13.04.2007 11:58 12.883 system.txt
13.04.2007 11:58 129 systemtemp.txt
13.04.2007 11:57 133.959 system32.txt
13.04.2007 11:23 804.835.328 hiberfil.sys
13.04.2007 11:23 402.653.184 pagefile.sys
Seitenanfang Seitenende
13.04.2007, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\dlrdate.dll

poste hier den report

--------------------------------
«
Avenger anwenden;

Zitat

Files to delete:
C:\WINDOWS\tcsrahrk2.reg
C:\WINDOWS\dbgcfg.tmp
C:\WINDOWS\wmvcfg.tmp
C:\WINDOWS\jpgcfg.tmp



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2007, 13:30
Member

Themenstarter

Beiträge: 11
#7 Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 no virus found
Authentium 4.93.8 04.13.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.12.2007 no virus found
BitDefender 7.2 04.13.2007 no virus found
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 no virus found
DrWeb 4.33 04.13.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3565 04.13.2007 no virus found
Ewido 4.0 04.13.2007 no virus found
FileAdvisor 1 04.13.2007 no virus found
Fortinet 2.85.0.0 04.13.2007 no virus found
F-Prot 4.3.2.48 04.12.2007 no virus found
F-Secure 6.70.13030.0 04.13.2007 no virus found
Ikarus T3.1.1.5 04.13.2007 no virus found
Kaspersky 4.0.2.24 04.13.2007 no virus found
McAfee 5008 04.13.2007 no virus found
Microsoft 1.2405 04.13.2007 no virus found
NOD32v2 2186 04.13.2007 no virus found
Norman 5.80.02 04.12.2007 no virus found
Panda 9.0.0.4 04.13.2007 no virus found
Prevx1 V2 04.13.2007 no virus found
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.13.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.13.2007 no virus found
VirusBuster 4.3.7:9 04.12.2007 no virus found
Webwasher-Gateway 6.0.1 04.13.2007 no virus found

Aditional Information
File size: 12 bytes
MD5: 9a7e7440833f9d347707395090f7a4de
SHA1: 8b0ac015c33deca4145521dd0e4a3b4085ef30eb

kein virus gefunden..

aus dem avenger script hab ich nur die 1. datei aufm rechner
Seitenanfang Seitenende
13.04.2007, 14:23
Member
Avatar Chris4You

Beiträge: 694
#8 Hi,

vielleicht Pfadfehler, prüfen ob diese Dateien in C:\DOKUME~1\Standard\LOKALE~1\Temp liegen, ggf.
Script anpassen und nochmal probieren....

Gruß,
Chris
Seitenanfang Seitenende
13.04.2007, 15:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 loesche die C:\WINDOWS\tcsrahrk2.reg manuell, dann sollte das problem behoben sein.
nicht vergessen, CleanUp anzu wenden !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2007, 15:28
Member

Themenstarter

Beiträge: 11
#10 dateien hab ich auch in temp nicht gefunden.. die tcsrahrk2.reg hab ich gelöscht.. system läuft stabil, ohne fehler.. danke für die hilfe!!
Seitenanfang Seitenende