ICQ Virus erhalten (Rechner 1)

#0
20.04.2007, 20:33
Member

Beiträge: 46
#1 Hallo zusammen,

ich habe von jemande aus meiner icq kontaktliste einen link erhalten und bin jetzt möglicherweise von einem wurm befallen. was kann ich tun ?

hier mein hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 20:32:38, on 20.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Ninchen\Desktop\drweb-cureit.exe
C:\DOKUME~1\Ninchen\LOKALE~1\Temp\RarSFX0\_start.exe
C:\DOKUME~1\Ninchen\LOKALE~1\Temp\RarSFX0\cureit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ninchen\Eigene Dateien\Unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skksd32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skksd32.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: trafracp.dll
O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\system32\shfoxpob.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe
Seitenanfang Seitenende
20.04.2007, 21:50
Member

Beiträge: 16
#2 O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\skksd32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\skksd32.exe
O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\system32\shfoxpob.dll

diese Einträge sind laut einem anderen Thread bedenklich und sollten dringend entfernt werden.

Entfernen solltest du sie mit Avenger http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Code

Registry values to delete:

Registry keys to delete:

Registry values to replace with dummy:

Files to delete:
C:\WINDOWS\skksd32.exe
C:\WINDOWS\system32\shfoxpob.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

arbeite anschließend bitte die Anleitung von http://board.protecus.de/t23188.htm ab.

Insbesondere diese Punkte :
CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
Seitenanfang Seitenende
20.04.2007, 23:24
Member

Themenstarter

Beiträge: 46
#3 "Ninchen" - 07-04-20 23:19:29 Service Pack 2
ComboFix 07-04-20.3V - Running from: C:\Dokumente und Einstellungen\Ninchen\Desktop\


((((((((((((((((((((((((((((((( Files Created from 2007-03-20 to 2007-04-20 ))))))))))))))))))))))))))))))))))


2007-04-20 23:14 <DIR> d-------- C:\avenger
2007-04-20 20:36 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-20 20:36 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-20 20:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-04-20 20:16 <DIR> d-------- C:\DOKUME~1\Ninchen\DoctorWeb
2007-04-20 18:42 177,664 --a------ C:\WINDOWS\hefh781.dat
2007-04-20 18:37 4 --a------ C:\WINDOWS\system32\shfoxpob.dat
2007-04-20 17:56 <DIR> d-------- C:\DOKUME~1\Ninchen\ANWEND~1\ICQ Toolbar
2007-04-20 17:20 <DIR> d-------- C:\DOKUME~1\Ninchen\ANWEND~1\ICQ


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-20 23:20 -------- d-------- C:\Programme\icqtoolbar
2007-04-20 20:28 -------- d--h----- C:\Programme\installshield installation information
2007-04-20 17:42 -------- d-------- C:\Programme\miranda im
2007-03-25 21:47 65866 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 21:47 396586 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-17 15:45 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-08 17:48 579584 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:48 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:48 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:45 1844096 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-19 01:05 75088 --a------ C:\DOKUME~1\Ninchen\ANWEND~1\gdipfontcachev1.dat
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D} C:\PROGRA~1\ICQTOO~1\toolbaru.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} c:\programme\google\googletoolbar3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"SMSERIAL"="sm56hlpr.exe"
"PowerManager"="C:\\Programme\\Power Manager\\PM.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"ALDI_SUED_FotoSuite_Download"="\"C:\\Programme\\ALDI Sued Foto Service\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"himem.exe"="C:\\WINDOWS\\skksd32.exe -s"
"SoundMnEx32"="C:\\WINDOWS\\skksd32.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Yahoo! Pager"="C:\\Programme\\Yahoo!\\Messenger\\ypager.exe -quiet"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\shfoxpob

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="trafracp.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_WINIO

********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-20 23:24:00
C:\ComboFix-quarantined-files.txt ... 07-04-20 23:24
C:\ComboFix2.txt ... 06-11-02 16:11












Datentr„ger in Laufwerk C: ist Nina
Volumeseriennummer: 8CEA-DD42

Verzeichnis von C:\WINDOWS\system32

20.04.2007 23:17 1.158 wpa.dbl
20.04.2007 19:38 4 shfoxpob.dat
20.04.2007 13:48 1.584 LexFiles.usr
04.04.2007 12:19 251.880 FNTCACHE.DAT
03.04.2007 22:48 13.511.640 MRT.exe
02.04.2007 14:21 428.032 swreg.exe
25.03.2007 21:47 54.614 perfc009.dat
25.03.2007 21:47 396.586 perfh007.dat
25.03.2007 21:47 384.930 perfh009.dat
25.03.2007 21:47 65.866 perfc007.dat
25.03.2007 21:47 911.074 PerfStringBackup.INI
17.03.2007 15:45 293.376 winsrv.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:48 40.960 mf3216.dll
08.03.2007 17:48 579.584 user32.dll
08.03.2007 17:48 282.112 gdi32.dll
08.03.2007 17:45 1.844.096 win32k.sys
28.02.2007 18:06 2.061.696 ntkrnlpa.exe
28.02.2007 18:06 2.184.448 ntoskrnl.exe
17.02.2007 12:52 122.142 TZLog.log
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
05.02.2007 22:18 185.856 upnphost.dll
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
09.01.2007 18:33 46.128 DLLPRF32.DAT
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ie



Datentr„ger in Laufwerk C: ist Nina
Volumeseriennummer: 8CEA-DD42

Verzeichnis von C:\DOKUME~1\Ninchen\LOKALE~1\Temp

20.04.2007 23:17 512 ~DFAFE9.tmp
20.04.2007 23:17 16.384 ~DFAFD7.tmp
2 Datei(en) 16.896 Bytes
0 Verzeichnis(se), 22.009.712.640 Bytes frei


Datentr„ger in Laufwerk C: ist Nina
Volumeseriennummer: 8CEA-DD42

Verzeichnis von C:\WINDOWS

20.04.2007 23:14 0 0.log
20.04.2007 23:14 4.066 ModemLog_Motorola SM56 Data Fax Modem.txt
20.04.2007 23:14 157 wiadebug.log
20.04.2007 23:14 1.165.803 WindowsUpdate.log
20.04.2007 23:13 50 wiaservc.log
20.04.2007 23:13 2.048 bootstat.dat
20.04.2007 23:12 32.556 SchedLgU.Txt
20.04.2007 18:42 177.664 hefh781.dat
20.04.2007 15:09 101.634 wmsetup.log
13.04.2007 10:30 303.557 comsetup.log
13.04.2007 10:30 49.295 ocmsn.log
13.04.2007 10:30 183.442 ntdtcsetup.log
13.04.2007 10:30 350.313 tsoc.log
13.04.2007 10:30 1.374 imsins.log
13.04.2007 10:30 143.727 iis6.log
13.04.2007 10:30 27.167 KB931784.log
13.04.2007 10:30 439.879 ocgen.log
13.04.2007 10:30 45.191 msgsocm.log
13.04.2007 10:30 913.010 FaxSetup.log
13.04.2007 10:30 825.481 setupapi.log
13.04.2007 10:30 1.374 imsins.BAK
13.04.2007 10:30 16.212 KB931261.log
13.04.2007 10:30 21.833 KB930178.log
13.04.2007 10:30 125.103 updspapi.log
13.04.2007 10:29 21.919 KB932168.log
04.04.2007 09:32 21.957 KB925902.log
27.03.2007 21:16 116 NeroDigital.ini
26.03.2007 14:08 54.156 QTFont.qfn
20.03.2007 14:34 1.409 QTFont.for
15.03.2007 15:43 22.245 KB929338.log
07.03.2007 12:49 18.129 spupdsvc.log
06.03.2007 19:07 14.514 WgaNotify.log
19.02.2007 01:13 7.680 Thumbs.db
17.02.2007 12:53 25.353 KB927779.log
17.02.2007 12:53 22.361 KB927802.log
17.02.2007 12:53 26.776 KB928255.log
17.02.2007 12:53 9.695 KB923723.log
17.02.2007 12:52 17.348 KB924667.log
17.02.2007 12:52 29.853 KB931836.log
17.02.2007 12:52 19.608 KB926436.log
17.02.2007 12:52 11.407 KB928090-IE7.log
17.02.2007 12:51 15.018 KB918118.log
17.02.2007 12:50 13.827 KB928843.log
19.01.2007 17:35 604 win.ini
11.01.2007 13:39 3.646 KB929969.log
08.01.2007 20:40 6.537 mgxoschk.ini
16.12.2006 22:49 213.609 setupact.log
15.12.2006 19:19 8.474 KB925398.log
15.12.2006 19:19 9.659 KB923689.log
15.12.2006 19:18 14.277 KB926255.log
15.12.2006 19:18 14.189 KB923694.log
11.12.2006 14:24 60.518 ie7_main.log
11.12.2006 14:24 118.362 ie7.log
11.12.2006 14:20 13.173 IDNMitigationAPIs.log
11.12.2006 14:20 12.846 NLSDownlevelMapping.log
11.12.2006 14:19 15.835 KB922760.log
11.12.2006 14:19 14.410 KB915865.log
11.12.2006 14:16 1.484 iereseticons.log
10.12.2006 17:20 29.682 ie7Uninst.log
18.11.2006 19:05 16.629 KB923980.log
18.11.2006 19:05 16.645 KB924270.log
18.11.2006 19:04 19.981 KB920213.log
03.11.2006 22:28 507 LMABB2DD.ini
03.11.2006 09:28 6.647 KB914440.log
03.11.2006 09:28 13.900 KB904942.log
14.10.2006 18:27 13.897 KB923414.log
14.10.2006 18:27 17.751 KB924496.log
14.10.2006 18:26 11.205 KB923191.log
13.10.2006 00:10 14.627 KB924191.log
13.10.2006 00:10 15.572 KB922819.log
27.09.2006 13:48 13.153 KB925486.log
25.09.2006 13:59 529 cdPlayer.ini
14.09.2006 16:57 15.650 KB920685.log
14.09.2006 16:57 17.541 KB920872.log
14.09.2006 16:57 15.857 KB919007.log
14.09.2006 16:56 10.499 KB922582.log
11.09.2006 20:49 400 ODBC.INI
04.09.2006 01:54 680 MKDEMSG.LOG
04.09.2006 01:53 2.560 MKDEWE.TRN
03.09.2006 23:00 664 KB829558.log
03.09.2006 23:00 19.342 dasetup.log
10.08.2006 20:45 19.105 KB920214.log
10.08.2006 20:45 18.837 KB921883.log
10.08.2006 20:44 18.677 KB922616.log
10.08.2006 20:44 23.763 KB921398.log
10.08.2006 20:44 37.452 KB918899.log
10.08.2006 20:44 14.277 KB920670.log
10.08.2006 20:44 14.441 KB917


Datentr„ger in Laufwerk C: ist Nina
Volumeseriennummer: 8CEA-DD42

Verzeichnis von C:\WINDOWS\temp

Datentr„ger in Laufwerk C: ist Nina
Volumeseriennummer: 8CEA-DD42

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
26.09.2006 15:17 206 PIXACODnDUpload.inf
25.09.2006 21:33 1.368.064 PIXACODnDUpload.ocx
12.09.2006 10:51 32.250 tra2_3_0.rc
24.08.2006 09:28 141.424 asinst.dll
22.08.2006 10:06 537 asinst.inf
07.06.2006 11:09 1.249 erma.inf
22.10.2005 16:48 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
9 Datei(en) 1.549.976 Bytes
0 Verzeichnis(se), 22.009.716.736 Bytes frei


Datentr„ger in Laufwerk C: ist Nina
Volumeseriennummer: 8CEA-DD42

Verzeichnis von C:\

20.04.2007 23:27 0 sys.txt
20.04.2007 23:27 712 down.txt
20.04.2007 23:27 108 tmp.txt
20.04.2007 23:27 13.464 system.txt
20.04.2007 23:27 334 systemtemp.txt
20.04.2007 23:25 103.039 system32.txt
20.04.2007 23:24 5.573 ComboFix.txt
20.04.2007 23:24 143 ComboFix-quarantined-files.txt
20.04.2007 23:13 467.914.752 hiberfil.sys
20.04.2007 23:13 704.643.072 pagefile.sys
20.04.2007 23:12 1.692 avenger.txt
05.04.2007 15:30 1.449 lmab.log
02.11.2006 16:11 8.159 ComboFix2.txt
12.10.2006 13:45 478 Verknpfung mit Eigene Dateien.lnk
16.12.2005 18:40 183 LogiSetup.log
16.12.2005 14:19 16 mxfilerelatedcache.mxc2
16.12.2005 13:34 27 expand.txt
16.12.2005 13:34 211 boot.ini
22.10.2005 17:37 185 ati.log
22.10.2005 17:20 251.712 ntldr
22.10.2005 16:50 0 IO.SYS
22.10.2005 16:50 0 MSDOS.SYS
22.10.2005 16:50 0 CONFIG.SYS
22.10.2005 16:50 0 AUTOEXEC.BAT
22.10.2005 10:04 1.738 Prodlog.txt
22.10.2005 10:04 1.154 FSP811N00826.dat
11.10.2004 07:18 19 LANG.TXT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 2 oem.tag
04.08.2004 14:00 47.564 NTDETECT.COM
13.03.2002 14:16 11 Language.txt
31 Datei(en) 1.173.000.749 Bytes
0 Verzeichnis(se), 22.009.716.736 Bytes frei
Dieser Beitrag wurde am 20.04.2007 um 23:30 Uhr von MrPink8111 editiert.
Seitenanfang Seitenende
21.04.2007, 00:58
Member

Beiträge: 16
#4 du bist sicher das du das mit dem Avenger und dem Neustart durchgeführt hast ???

Weil die Dateien sind immer noch auf deinem Rechner :

C:\WINDOWS\system32\shfoxpob.dat
C:\WINDOWS\skksd32.exe

führe bitte den Avenger nochmal aus:http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Code

Registry values to delete:

Registry keys to delete:

Registry values to replace with dummy:

Files to delete:
C:\WINDOWS\system32\shfoxpob.dat
C:\WINDOWS\skksd32.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten.

Danach führe bitte unter http://virus-protect.org/onlinescan.html
den Online Scanner von ewido aus
und poste das Log von Ewido hier.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: