spyware detection alert

#0
01.05.2007, 21:24
Member

Beiträge: 39
#1 hallo,
habe seit einer weile beim booten die meldung "spyware detection alert" und einen kleinen roten kreis mit einem rufzeichen in der mitte. seit dem spinnt auch mein ie-explorer und das surfen wird zur qual da ständig die eingegebene seite auf eine andere wechselt.
kann mir jemand helfen???
Seitenanfang Seitenende
01.05.2007, 22:02
Member

Beiträge: 500
#2 Lese mal durch und arbeite ab:
http://board.protecus.de/t23188.htm

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
04.05.2007, 00:09
Member

Themenstarter

Beiträge: 39
#3 hier die gewünschten files:

Logfile of HijackThis v1.99.1
Scan saved at 23:21:59, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\svehost.exe
C:\WINDOWS\system32\clcl6.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\internet explorer\iexplore.exe
H:\Eigene Dateien\!Ralph\Tool's\Security\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=041507 serial=dr12wex-1504397-kty lang=DE
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\system32\svehost.exe
O4 - HKLM\..\Run: [clcl6] C:\WINDOWS\system32\clcl6.exe
O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\pcwwkvrn.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer = 195.34.133.21 195.34.133.22
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



ComboFix 07-04-25.4V - Running from: "H:\Eigene Dateien\!Ralph\Tool's\Security\"

((((((((((((((((((((((((((((((( Files Created from 2007-04-03 to 2007-05-03 ))))))))))))))))))))))))))))))))))


2007-05-03 22:57 518,162 ---hs---- C:\WINDOWS\system32\stutv.bak2
2007-05-03 22:57 132,660 --a------ C:\WINDOWS\system32\pcwwkvrn.dll
2007-05-02 17:08 570,826 ---hs---- C:\WINDOWS\system32\stutv.bak1
2007-05-02 17:08 284,244 ---hs---- C:\WINDOWS\system32\vtuts.dll
2007-05-01 21:39 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-04-30 22:24 37,376 --a------ C:\WINDOWS\system32\udial.exe
2007-04-26 15:31 132,660 --------- C:\WINDOWS\system32\jppfefru.dll
2007-04-24 21:01 204,288 --a------ C:\WINDOWS\system32\clcl6.exe
2007-04-18 17:43 73,728 --a------ C:\WINDOWS\system32\svehost.exe
2007-04-15 21:48 <DIR> d-------- C:\lucca
2007-04-15 21:45 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-04-14 21:30 31,828 --------- C:\WINDOWS\system32\ssqpp.exe
2007-04-14 21:30 26,714 --a------ C:\WINDOWS\system32\khfdefg.dll
2007-04-14 21:30 26,714 --a------ C:\WINDOWS\system32\jkkhhhh.dll
2007-04-14 08:46 93,696 --a------ C:\WINDOWS\system32\drvkav.dll
2007-04-06 22:36 <DIR> d-------- C:\VundoFix Backups
2007-04-04 21:59 <DIR> d-------- C:\Programme\Lavasoft
2007-04-04 21:59 <DIR> d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\Lavasoft


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-03 23:00 72412 --a------ C:\WINDOWS\system32\perfc007.dat
2007-05-03 23:00 412660 --a------ C:\WINDOWS\system32\perfh007.dat
2007-05-02 17:06 -------- d-------- C:\Programme\winamp
2007-03-31 13:03 -------- d--h----- C:\Programme\installshield installation information
2007-03-31 13:03 -------- d-------- C:\Programme\md 40820
2007-03-31 11:16 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\corel
2007-03-31 11:12 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2007-03-31 11:06 -------- d-------- C:\Programme\micrografx
2007-03-24 23:12 1744 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-03-23 22:53 -------- d-------- C:\Programme\bitlord
2007-03-23 22:41 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\bittorrent
2007-03-23 21:13 -------- d-------- C:\Programme\divx
2007-03-23 21:10 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\divx
2007-03-16 22:05 -------- d-------- C:\Programme\pinnacle
2007-03-16 01:14 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\pinnacle systems
2007-03-16 01:06 -------- d-------- C:\Programme\microsoft sql server
2007-03-16 01:01 -------- d-------- C:\Programme\smartsound software
2007-03-16 00:59 87 --a------ C:\AUTOEXEC.BAT
2007-03-13 21:45 -------- d-------- C:\Programme\regcleaner
2007-03-13 19:41 -------- d-------- C:\Programme\microsoft encarta
2007-03-07 23:56 -------- d-------- C:\Programme\mp3gain
2007-03-07 23:52 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\id3-tagit 3
2007-03-07 23:44 -------- d-------- C:\Programme\id3-tagit 3
2007-03-07 22:51 -------- d-------- C:\Programme\musicbrainz tagger
2007-03-07 00:53 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\help
2007-03-05 23:32 -------- d-------- C:\Programme\messengerplus! 3
2007-03-03 22:04 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\autodesk
2007-03-03 21:49 -------- d-------- C:\Programme\autodesk
2007-03-03 21:31 -------- d-------- C:\Programme\shareaza
2007-03-03 21:25 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\shareaza
2007-03-03 20:41 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-03-03 01:22 -------- d-------- C:\Programme\msn messenger
2007-03-03 01:00 -------- d-------- C:\Programme\nero
2007-03-03 00:51 -------- d-------- C:\Programme\gs
2007-03-03 00:51 -------- d-------- C:\Programme\freepdf_xp
2007-03-03 00:37 -------- d-------- C:\Programme\irfanview
2007-03-03 00:34 -------- d-------- C:\Programme\videolan
2007-03-03 00:34 -------- d-------- C:\DOKUME~1\GREILB~1\ANWEND~1\vlc
2007-03-03 00:14 -------- d-------- C:\Programme\clearprog
2007-03-02 00:57 1632 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-03-01 23:22 0 -rahs---- C:\MSDOS.SYS
2007-03-01 23:22 0 -rahs---- C:\IO.SYS
2007-03-01 23:22 0 --a------ C:\CONFIG.SYS
2007-03-01 23:18 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-03-01 22:51 62 --ahs---- C:\DOKUME~1\GREILB~1\ANWEND~1\desktop.ini
2007-02-23 06:29 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-02-23 06:29 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-02-23 06:25 53248 --a------ C:\WINDOWS\system32\dpugui10.dll
2007-02-23 06:25 294912 --a------ C:\WINDOWS\system32\dpu10.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{271DEA85-7420-4637-84E0-B2C1AAC3B719} C:\WINDOWS\system32\vtuts.dll
{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} C:\WINDOWS\system32\khfdefg.dll
{9C5E5CB8-33FE-4BEF-81E0-CAF564321272} C:\WINDOWS\system32\ddccc.dll [x]
{D651AFF4-9590-424d-BD1E-8E33E090DFB3} C:\WINDOWS\system32\dqfrwnea.dll [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\\\PSDrvCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"CorelDRAW Graphics Suite 11b"="C:\\Programme\\Corel\\Corel Graphics 12\\Languages\\DE\\Programs\\Registration.exe /title=\"CorelDRAW Graphics Suite 12\" /date=041507 serial=dr12wex-1504397-kty lang=DE"
"Intel system tool"="C:\\WINDOWS\\system32\\svehost.exe"
"clcl6"="C:\\WINDOWS\\system32\\clcl6.exe"
"WindowsService"="rundll32.exe \"C:\\WINDOWS\\system32\\pcwwkvrn.dll\",realset"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BitTorrent"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"=""
"{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""
"{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdefg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtuts

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-03 23:56:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-05-03 23:56:33
C:\ComboFix-quarantined-files.txt ... 07-05-03 23:56
C:\ComboFix2.txt ... 07-05-02 18:06
C:\ComboFix3.txt ... 07-05-01 21:39


und hier die datfind.bat logfiles:

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 2405-E75A

Verzeichnis von c:\

03.05.2007 23:59 0 dirdat.txt
03.05.2007 23:56 8.141 ComboFix.txt
03.05.2007 23:56 1.442 ComboFix-quarantined-files.txt
03.05.2007 22:56 804.835.328 hiberfil.sys
03.05.2007 22:56 1.207.959.552 pagefile.sys
02.05.2007 18:06 8.535 ComboFix2.txt
01.05.2007 21:39 9.482 ComboFix3.txt
01.05.2007 21:03 5.302 VundoFix.txt
11.04.2007 17:23 6.835 hpfr3740.log
16.03.2007 21:17 83 FilterLog.log
16.03.2007 01:07 213.034 MSDELog.log
16.03.2007 00:59 87 AUTOEXEC.BAT
15.03.2007 21:01 176 RegistryChecker.log
01.03.2007 23:22 0 MSDOS.SYS
01.03.2007 23:22 0 CONFIG.SYS
01.03.2007 23:22 0 IO.SYS
01.03.2007 22:57 211 boot.ini


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 2405-E75A

Verzeichnis von C:\WINDOWS\system32

03.05.2007 23:59 508.634 stutv.ini
03.05.2007 23:52 1.244 nrvkwwcp.ini
03.05.2007 23:00 401.220 perfh009.dat
03.05.2007 23:00 61.360 perfc009.dat
03.05.2007 23:00 412.660 perfh007.dat
03.05.2007 23:00 72.412 perfc007.dat
03.05.2007 23:00 958.756 PerfStringBackup.INI
03.05.2007 22:57 132.660 pcwwkvrn.dll
03.05.2007 22:57 518.162 stutv.bak2
03.05.2007 22:57 1.124 urfefppj.ini
03.05.2007 22:57 41.108 vsconfig.xml
03.05.2007 22:56 2.206 wpa.dbl
02.05.2007 17:08 570.826 stutv.bak1
02.05.2007 17:08 284.244 vtuts.dll
01.05.2007 21:10 143 mcrh.tmp
01.05.2007 21:03 578.692 cccdd.tmp
30.04.2007 22:24 37.376 udial.exe
26.04.2007 15:31 132.660 jppfefru.dll
24.04.2007 21:01 204.288 clcl6.exe
18.04.2007 17:28 73.728 svehost.exe
14.04.2007 21:30 26.714 jkkhhhh.dll
14.04.2007 21:30 26.714 khfdefg.dll
14.04.2007 21:30 31.828 ssqpp.exe
14.04.2007 08:46 93.696 drvkav.dll
04.04.2007 21:54 1.691.197 rekwjhcx.ini
02.04.2007 14:21 428.032 swreg.exe
31.03.2007 21:33 3.157 jupdate-1.4.2_03-b02.log
31.03.2007 12:57 437.352 FNTCACHE.DAT
24.03.2007 23:12 1.744 d3d9caps.dat
16.03.2007 01:18 46 blue.SITENAME
16.03.2007 01:07 2.250.192 MSDELog.log
03.03.2007 20:41 4.212 zllictbl.dat
02.03.2007 00:57 1.632 d3d8caps.dat
01.03.2007 23:25 261 $winnt$.inf
01.03.2007 23:22 2.951 CONFIG.NT
01.03.2007 23:21 16.832 amcompat.tlb
01.03.2007 23:21 23.392 nscompat.tlb
01.03.2007 23:20 488 WindowsLogon.manifest
01.03.2007 23:20 488 logonui.exe.manifest
01.03.2007 23:20 749 wuaucpl.cpl.manifest
01.03.2007 23:20 749 cdplayer.exe.manifest
01.03.2007 23:20 749 ncpa.cpl.manifest
01.03.2007 23:20 749 sapi.cpl.manifest
01.03.2007 23:20 749 nwc.cpl.manifest
01.03.2007 23:18 21.740 emptyregdb.dat
01.03.2007 22:57 0 h323log.txt
23.02.2007 06:29 183.032 pxmas.dll
23.02.2007 06:29 72.440 pxhpinst.exe
23.02.2007 06:29 379.640 pxwave.dll
23.02.2007 06:29 502.520 pxdrv.dll
23.02.2007 06:29 1.329.912 pxsfs.dll
23.02.2007 06:29 116.472 pxcpyi64.exe
23.02.2007 06:29 118.520 pxinsi64.exe
23.02.2007 06:29 527.096 px.dll
23.02.2007 06:29 64.760 pxcpya64.exe
23.02.2007 06:29 64.760 pxinsa64.exe
23.02.2007 06:29 39.672 vxblock.dll
23.02.2007 06:25 53.248 dpuGUI10.dll
23.02.2007 06:25 294.912 dpu10.dll


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 2405-E75A

Verzeichnis von C:\WINDOWS

03.05.2007 23:52 419.354 WindowsUpdate.log
03.05.2007 22:56 0 0.log
03.05.2007 22:56 159 wiadebug.log
03.05.2007 22:56 50 wiaservc.log
03.05.2007 22:56 2.048 bootstat.dat
02.05.2007 22:31 32.644 SchedLgU.Txt
02.05.2007 17:03 69 NeroDigital.ini
02.05.2007 16:38 5.140 setupapi.log
21.04.2007 03:52 86.528 catchme.exe
24.03.2007 23:14 1.208 VFO.INI
21.03.2007 16:35 252 AIM_RACE_STUDIO.INI
21.03.2007 16:24 65 AIM_UNITS.INI
21.03.2007 16:24 30 AIM_NTIMES.INI
21.03.2007 16:24 2.049 AIM_RSANALYSIS.INI
16.03.2007 22:05 827 win.ini
16.03.2007 01:23 455 VFO.VST
16.03.2007 01:00 316.640 WMSysPr9.prx
03.03.2007 21:11 0 Sti_Trace.log
03.03.2007 01:17 43 gswin32.ini
03.03.2007 01:14 4.507 imsins.BAK
02.03.2007 01:26 400 ODBC.INI
02.03.2007 00:41 10.602 hpdj3740.ini
02.03.2007 00:41 209.972 hpdj3740.his
02.03.2007 00:37 9.181 hpdj3740.bu1
02.03.2007 00:37 229.936 hpdj3740.hi1
02.03.2007 00:31 494 demo.INI
01.03.2007 23:27 829 OEWABLog.txt
01.03.2007 23:26 819.132 setuplog.txt
01.03.2007 23:26 8.192 REGLOCS.OLD
01.03.2007 23:22 0 control.ini
01.03.2007 23:21 4.161 ODBCINST.INI
01.03.2007 23:20 749 WindowsShell.Manifest
01.03.2007 23:18 36 vb.ini
01.03.2007 23:18 37 vbaddin.ini
01.03.2007 22:51 231 system.ini


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 2405-E75A

Verzeichnis von C:\DOKUME~1\GREILB~1\LOKALE~1\Temp
Seitenanfang Seitenende
04.05.2007, 11:27
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

verseucht bis über beide Ohren:

Round 1:


virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu

prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\svehost.exe
C:\WINDOWS\system32\pcwwkvrn.dll
C:\WINDOWS\system32\pcwwkvrn.dll
C:\WINDOWS\nircmd.exe
C:\WINDOWS\system32\udial.exe
Falls eine der Dateien NICHT erkannt wird,
bei Files to delete ENTFERNEN, falls sie erkannt
wurde den STERN dahinter entfernen (habe ich nur
gemacht dass Du die Dateien besser findest...)

Bitte Messenger plus! deinstallieren!


Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MessengerPlus3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Intel system tool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|clcl6
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WindowsService


registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdefg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtuts

Registry values to replace with dummy:


Files to delete:
C:\WINDOWS\system32\clcl6.exe
C:\WINDOWS\system32\svehost.exe *
C:\WINDOWS\system32\pcwwkvrn.dll *
C:\WINDOWS\system32\pcwwkvrn.dll *
C:\WINDOWS\system32\stutv.bak2
C:\WINDOWS\system32\stutv.bak1
C:\WINDOWS\system32\vtuts.dll
C:\WINDOWS\system32\ssqpp.exe
C:\WINDOWS\system32\khfdefg.dll
C:\WINDOWS\system32\jkkhhhh.dll
C:\WINDOWS\system32\drvkav.dll
C:\WINDOWS\nircmd.exe *
C:\WINDOWS\system32\udial.exe *
C:\WINDOWS\system32\jppfefru.dll
C:\WINDOWS\system32\ddccc.dll
C:\WINDOWS\system32\dqfrwnea.dll
C:\WINDOWS\system32\urfefppj.ini
C:\WINDOWS\system32\rekwjhcx.ini



Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [clcl6] C:\WINDOWS\system32\clcl6.exe
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\system32\svehost.exe
O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\pcwwkvrn.dll",realset
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)


Smitfraut
scanne mit option 1 und 2 und poste die reporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

scanne mit ewido und poste den scanreport sowie neues Hijackthis-Log
http://virus-protect.org/onlinescan.html

Chris
Dieser Beitrag wurde am 04.05.2007 um 11:30 Uhr von Chris4You editiert.
Seitenanfang Seitenende
06.05.2007, 00:12
Member

Themenstarter

Beiträge: 39
#5 hier die neuen logs:

STATUS: FINISHEDComplete scanning result of "pcwwkvrn.dll", received in VirusTotal at 05.05.2007, 22:33:06 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.05.2007 no virus found
Authentium 4.93.8 05.04.2007 no virus found
Avast 4.7.997.0 05.05.2007 no virus found
AVG 7.5.0.467 05.05.2007 no virus found
BitDefender 7.2 05.05.2007 no virus found
CAT-QuickHeal 9.00 05.05.2007 no virus found
ClamAV devel-20070416 05.05.2007 Trojan.Packed-7
DrWeb 4.33 05.05.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3615 05.05.2007 no virus found
Ewido 4.0 05.05.2007 no virus found
FileAdvisor 1 05.05.2007 no virus found
Fortinet 2.85.0.0 05.05.2007 suspicious
F-Prot 4.3.2.48 05.04.2007 no virus found
F-Secure 6.70.13030.0 05.05.2007 no virus found
Ikarus T3.1.1.7 05.05.2007 no virus found
Kaspersky 4.0.2.24 05.05.2007 no virus found
McAfee 5024 05.04.2007 no virus found
Microsoft 1.2503 05.05.2007 no virus found
NOD32v2 2243 05.05.2007 no virus found
Norman 5.80.02 05.04.2007 no virus found
Panda 9.0.0.4 05.05.2007 no virus found
Prevx1 V2 05.05.2007 no virus found
Sophos 4.17.0 05.05.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 VIPRE.Suspicious
Symantec 10 05.05.2007 Trojan.Vundo
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.04.2007 no virus found
VirusBuster 4.3.7:9 05.05.2007 no virus found
Webwasher-Gateway 6.0.1 05.05.2007 Worm.Win32.Malware.gen (suspicious)


STATUS: FINISHEDComplete scanning result of "nircmd.exe", received in VirusTotal at 05.05.2007, 22:35:47 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.05.2007 no virus found
Authentium 4.93.8 05.04.2007 no virus found
Avast 4.7.997.0 05.05.2007 no virus found
AVG 7.5.0.467 05.05.2007 no virus found
BitDefender 7.2 05.05.2007 no virus found
CAT-QuickHeal 9.00 05.05.2007 no virus found
ClamAV devel-20070416 05.05.2007 no virus found
DrWeb 4.33 05.05.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3615 05.05.2007 no virus found
Ewido 4.0 05.05.2007 no virus found
FileAdvisor 1 05.05.2007 No Thread detected
Fortinet 2.85.0.0 05.05.2007 suspicious
F-Prot 4.3.2.48 05.04.2007 no virus found
F-Secure 6.70.13030.0 05.05.2007 no virus found
Ikarus T3.1.1.7 05.05.2007 no virus found
Kaspersky 4.0.2.24 05.05.2007 no virus found
McAfee 5024 05.04.2007 no virus found
Microsoft 1.2503 05.05.2007 no virus found
NOD32v2 2243 05.05.2007 no virus found
Norman 5.80.02 05.04.2007 no virus found
Panda 9.0.0.4 05.05.2007 Application/NirCmd.A
Prevx1 V2 05.05.2007 no virus found
Sophos 4.17.0 05.05.2007 NirCmd
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.05.2007 no virus found
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.04.2007 no virus found
VirusBuster 4.3.7:9 05.05.2007 no virus found
Webwasher-Gateway 6.0.1 05.05.2007 no virus found


STATUS: FINISHEDComplete scanning result of "udial.exe", received in VirusTotal at 05.05.2007, 22:37:10 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.05.2007 TR/Dialer.RT.6
Authentium 4.93.8 05.04.2007 W32/Dialer.DBX
Avast 4.7.997.0 05.05.2007 Win32:Small-EMS
AVG 7.5.0.467 05.05.2007 Dialer.DDA
BitDefender 7.2 05.05.2007 Trojan.Dialer.RT
CAT-QuickHeal 9.00 05.05.2007 Trojan.Dialer.rt
ClamAV devel-20070416 05.05.2007 Dialer-845
DrWeb 4.33 05.05.2007 Dialer.Keykot
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3615 05.05.2007 no virus found
Ewido 4.0 05.05.2007 Trojan.Dialer.rt
FileAdvisor 1 05.05.2007 no virus found
Fortinet 2.85.0.0 05.05.2007 W32/Dialer.RT!tr
F-Prot 4.3.2.48 05.04.2007 W32/Dialer.DBX
F-Secure 6.70.13030.0 05.05.2007 Trojan.Win32.Dialer.rt
Ikarus T3.1.1.7 05.05.2007 Trojan.Win32.Dialer.rt
Kaspersky 4.0.2.24 05.05.2007 Trojan.Win32.Dialer.rt
McAfee 5024 05.04.2007 no virus found
Microsoft 1.2503 05.05.2007 Dialer:Win32/IDialer (Thread-c)
NOD32v2 2243 05.05.2007 Win32/Dialer.NCJ
Norman 5.80.02 05.04.2007 W32/Dialer.BCID
Panda 9.0.0.4 05.05.2007 Dialer.ITG
Prevx1 V2 05.05.2007 Dialer.GlobalAccess
Sophos 4.17.0 05.05.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 Trojan.CallSolutions
Symantec 10 05.05.2007 Dialer.Trojan
TheHacker 6.1.6.104 04.15.2007 Trojan/Dialer.rt
VBA32 3.11.4 05.04.2007 Trojan.Win32.Dialer.rt
VirusBuster 4.3.7:9 05.05.2007 Trojan.Dialer.VI
Webwasher-Gateway 6.0.1 05.05.2007 Trojan.Dialer.RT.6


STATUS: FINISHEDComplete scanning result of "svehost.exe", received in VirusTotal at 05.05.2007, 22:30:59 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.05.2007 TR/Agent.KQ.7
Authentium 4.93.8 05.04.2007 no virus found
Avast 4.7.997.0 05.05.2007 no virus found
AVG 7.5.0.467 05.05.2007 Generic3.VBN
BitDefender 7.2 05.05.2007 Trojan.Clicker.CR
CAT-QuickHeal 9.00 05.05.2007 Trojan.Agent.kq
ClamAV devel-20070416 05.05.2007 no virus found
DrWeb 4.33 05.05.2007 BackDoor.Insyst
eSafe 7.0.15.0 05.03.2007 Win32.Agent.kq
eTrust-Vet 30.7.3615 05.05.2007 Win32/Slerpon!generic
Ewido 4.0 05.05.2007 Trojan.Agent.kq
FileAdvisor 1 05.05.2007 no virus found
Fortinet 2.85.0.0 05.05.2007 W32/Agent.KQ!tr
F-Prot 4.3.2.48 05.04.2007 no virus found
F-Secure 6.70.13030.0 05.05.2007 Trojan.Win32.Agent.kq
Ikarus T3.1.1.7 05.05.2007 Trojan.Win32.Agent.KQ
Kaspersky 4.0.2.24 05.05.2007 Trojan.Win32.Agent.kq
McAfee 5024 05.04.2007 Generic.dx
Microsoft 1.2503 05.05.2007 no virus found
NOD32v2 2243 05.05.2007 Win32/Agent.NHP
Norman 5.80.02 05.04.2007 W32/Backdoor.AW
Panda 9.0.0.4 05.05.2007 Adware/Antivirus-gold
Prevx1 V2 05.05.2007 Covert.Sys.Exec
Sophos 4.17.0 05.05.2007 Troj/Agent-EON
Sunbelt 2.2.907.0 05.05.2007 Trojan.Win32.Agent.kq
Symantec 10 05.05.2007 Trojan Horse
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.04.2007 BackDoor.Insyst
VirusBuster 4.3.7:9 05.05.2007 no virus found
Webwasher-Gateway 6.0.1 05.05.2007 Trojan.Agent.KQ.7


SmitFraudFix v2.175

Scan done at 23:23:57,56, 05.05.2007
Run from H:\Eigene Dateien\!Ralph\Tool's\Security\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Greilberger


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Greilberger\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\GREILB~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.34.133.21
DNS Server Search Order: 195.34.133.22

Description: VIA VT6105 Rhine III Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 195.58.160.194
DNS Server Search Order: 195.58.161.122

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.58.160.194 195.58.161.122


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


SmitFraudFix v2.175

Scan done at 23:25:35,67, 05.05.2007
Run from H:\Eigene Dateien\!Ralph\Tool's\Security\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.34.133.21
DNS Server Search Order: 195.34.133.22

Description: VIA VT6105 Rhine III Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 195.58.160.194
DNS Server Search Order: 195.58.161.122

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BF152F95-6BC4-4C01-BA7F-E9A9E2BFDCB5}: DhcpNameServer=195.58.160.194 195.58.161.122
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.58.160.194 195.58.161.122


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Yieldmanager
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@ad.yieldmanager[1].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@bs.serving-sys[2].txt
Risk: Medium

Name: TrackingCookie.Cpvfeed
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@cpvfeed[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Fastclick
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@fastclick[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@serving-sys[1].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Dokumente und Einstellungen\Greilberger\Cookies\greilberger@stats1.reliablestats[1].txt
Risk: Medium

Name: Adware.BHO
Path: [2000] C:\WINDOWS\system32\frknvuvp.dll
Risk: Medium

Name: Downloader.Agent.es
Path: C:\avenger\backup.zip/avenger/clcl6.exe
Risk: High

Name: Trojan.Agent.qt
Path: C:\avenger\backup.zip/avenger/drvkav.dll
Risk: High

Name: Hijacker.Agent.jc
Path: C:\QooBox\Quarantine\C\WINDOWS\system32\v7.exe.vir
Risk: High

Name: Trojan.Agent.qt
Path: C:\QooBox\Quarantine\C\WINDOWS\system32\winjgf32.dll.vir
Risk: High

Name: Trojan.Dialer.rt
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010040.exe
Risk: High

Name: Trojan.Dialer.rt
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010083.exe
Risk: High

Name: Adware.BHO
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010111.dll
Risk: Medium

Name: Downloader.Agent.es
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010925.exe
Risk: High

Name: Trojan.Dialer.rt
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0010975.exe
Risk: High

Name: Hijacker.Agent.jc
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0011107.exe
Risk: High

Name: Trojan.Agent.qt
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP41\A0011108.dll
Risk: High

Name: Downloader.Agent.es
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP42\A0011380.exe
Risk: High

Name: Trojan.Agent.qt
Path: C:\System Volume Information\_restore{2176714C-61E3-480A-B687-F429CD1FE220}\RP42\A0011381.dll
Risk: High

Name: Adware.BHO
Path: C:\WINDOWS\system32\frknvuvp.dll
Risk: Medium

Name: Trojan.Agent.kq
Path: C:\WINDOWS\system32\svehost.exe
Risk: High

Name: Trojan.Dialer.rt
Path: C:\WINDOWS\system32\udial.exe
Risk: High


Logfile of HijackThis v1.99.1
Scan saved at 00:07:33, on 06.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
H:\Eigene Dateien\!Ralph\Tool's\Security\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\khfdefg.dll (file missing)
O2 - BHO: (no name) - {9C5E5CB8-33FE-4BEF-81E0-CAF564321272} - C:\WINDOWS\system32\ddccc.dll (file missing)
O2 - BHO: (no name) - {A449BB8A-D9DB-4455-BB9A-CCDA3C2D6BCc} - C:\WINDOWS\system32\frknvuvp.dll (file missing)
O2 - BHO: (no name) - {AADE8B2B-A65B-4E55-8CCE-EAAC24ED52C4} - (no file)
O2 - BHO: (no name) - {CB8C294A-0BF4-4196-BC2E-8F3B4EF77705} - C:\WINDOWS\system32\vtuts.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\dqfrwnea.dll (file missing)
O2 - BHO: (no name) - {E44527F6-1296-4A84-B67D-A6CEA6ED4B69} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=041507 serial=dr12wex-1504397-kty lang=DE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7607B44C-2C6A-4CB1-86B6-3E75E63AA24D}: NameServer = 195.34.133.21 195.34.133.22
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
07.05.2007, 06:18
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

bin leider ab heute drei Tage unterwegs,
daher hier nur kurz:
- Quarantäne (Qbox) löschen
- Avenger backup löschen
- Systemwiederherstellunge aus schalten, rebooten und wieder einschalten,

Files die mit High erkannt wurden über avenger löschen.

Hijackthis fixen:
2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\khfdefg.dll (file missing)
O2 - BHO: (no name) - {9C5E5CB8-33FE-4BEF-81E0-CAF564321272} - C:\WINDOWS\system32\ddccc.dll (file missing)
O2 - BHO: (no name) - {A449BB8A-D9DB-4455-BB9A-CCDA3C2D6BCc} - C:\WINDOWS\system32\frknvuvp.dll (file missing)
O2 - BHO: (no name) - {AADE8B2B-A65B-4E55-8CCE-EAAC24ED52C4} - (no file)
O2 - BHO: (no name) - {CB8C294A-0BF4-4196-BC2E-8F3B4EF77705} - C:\WINDOWS\system32\vtuts.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\dqfrwnea.dll (file missing)
O2 - BHO: (no name) - {E44527F6-1296-4A84-B67D-A6CEA6ED4B69} - (no file)
Falls was nicht klapp bei einem Moderator nachfragen...

Chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: