Home » Spyware & Browser Hijacker Support Forum » PopUps von DriveCleaner, WinAntiVirus 2006 und andere PopUps » Themenansicht

PopUps von DriveCleaner, WinAntiVirus 2006 und andere PopUps
#0
30.05.2007, 22:31
Wiesel90
...neu hier

Beiträge: 3
#1 Ich habe ein ähnliches Problem wie in den folgenden Threads:
http://board.protecus.de/t28978.htm
http://board.protecus.de/t29584.htm
http://board.protecus.de/t29534.htm
http://board.protecus.de/t29499.htm
und wahrscheinlich noch mehrere (ich hab mir jetzt mal nur die erste Seite angeguckt).

Also wenn ich meinen Browser (Firefox) start dann ist erstmal alle ganz normal bis irgendwann ein PopUP kommt von DriveCleaner und WinAntiVirus 2006 oder einfach irgendeine andere Werbung. Dies wiederholt sich in unregelmäßigen Abständen wieder (manchmal 1 min, sonst auch mal 1 stunde nichts). Teilweise erscheint ein Popup auf dem Desktop (kein Programm bzw. Browser geöffnet) in dem es heißt ich soll mir DriveCleaner runterladen, da ich Sex-Seiten besucht hätte. Als ich die Meldung gesehen habe war mir klar, dass das keine Richtige Meldung war sondern die mich nur dazu bewegen wollte irgendwelche Maleware runterzuladen, denn ich war nie auf irgenwelchen Pornoseiten und das Fenster meinte "883 Besuchte Pornoseiten". Deswegen hab ich auf Abbrechen geklickt. Nur kommt diese Meldung immer wieder. Auch in unregelmäßigen abständen aber meistens so ca. 5 min nach Systemstart und dann auch manchmal nochmal später. Außerdem öffnet sich dann ein Browserfenster mit Werbung (Internet Explorer; außer Firefox ist geöffnet, dann kommt die Werbung im neuen Tab). Ich hoffe ihr könnt mir helfen das wieder loszuwerden! Schon mal ein großes Dankeschön an alle die probieren mir zu helfen.

So ich hab schon mal einen Scan mit HijackThis v1.99.1 gemacht und gesäubert:

[?] - O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\ybewkoyp.dll
[?] - O2 - BHO: (no name) - {796FAD50-6DE0-4CC1-85C9-94381CDEE4A8} - C:\WINDOWS\system32\iifdeca.dll
[?] - O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\pqwlfsuf.dll",realset
[?] - O8 - Extra context menu item: AlarmClock Wecker - C:\PROGRA~1\AlmClock\AlmClock.htm
[?] - O9 - Extra button: Wecker - {48B7ECC2-1846-4180-9673-4F4B864B3846} - C:\PROGRA~1\AlmClock\AlmClock.htm (HKCU)
[?] - O9 - Extra 'Tools' menuitem: AlarmClock Wecker - {48B7ECC2-1846-4180-9673-4F4B864B3846} - C:\PROGRA~1\AlmClock\AlmClock.htm (HKCU)
[?] - O20 - Winlogon Notify: iifdeca - C:\WINDOWS\SYSTEM32\iifdeca.dll



Mit AVG Anti-Spyware 7.5 habe ich 2mal gescannt:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:14:53 29.05.2007

+ Scan-Ergebnis:



C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP254\A0053062.exe/keygen.exe -> Adware.Virtumonde : Gesäubert.
[1020] C:\WINDOWS\system32\iifdeca.dll -> Adware.Virtumonde : Gesäubert.
[424] C:\WINDOWS\system32\iifdeca.dll -> Adware.Virtumonde : Gesäubert.
C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP254\A0053062.exe/crack.exe -> Trojan.Inject.br : Gesäubert.


::Berichtende

und danach:


---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:45:50 29.05.2007

+ Scan-Ergebnis:



[2272] C:\WINDOWS\system32\iifdeca.dll -> Adware.Virtumonde : Gesäubert.
[2516] C:\WINDOWS\system32\ssqpo.dll -> Adware.Virtumonde : Gesäubert.
[3472] C:\WINDOWS\system32\iifdeca.dll -> Adware.Virtumonde : Gesäubert.


::Berichtende


Schonmal Danke an alle die bis hierher gelesen haben. So was kann und soll ich jetzt tun?
Seitenanfang Seitenende
31.05.2007, 11:12
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

einfach das mal abarbeiten & posten...

http://board.protecus.de/t23188.htm
- Combofix
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris
Seitenanfang Seitenende
31.05.2007, 16:00
Wiesel90
...neu hier

Themenstarter

Beiträge: 3
#3 Ok hier die Posts der Logfiles:

1. ComboFix

"user1" - 2007-05-31 15:08:51 Service Pack 2
ComboFix 07-05.27.BV - Running from: "C:\Programme\Mozilla Firefox\"


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\albocnpp.dll
C:\WINDOWS\system32\pqwlfsuf.dll
C:\WINDOWS\system32\ybewkoyp.dll
C:\WINDOWS\system32\opqss.bak2
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\ppncobla.ini
C:\WINDOWS\system32\fusflwqp.ini
C:\WINDOWS\system32\opqss.bak2
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\ssqpo.dll
C:\WINDOWS\system32\iifdeca.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\DOKUME~1\user1\Desktop.\internet explorer.lnk"


((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-31 ))))))))))))))))))))))))))))))))))


2007-05-29 21:38 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-05-29 19:50 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-05-29 19:50 <DIR> d-------- C:\Programme\AVG Anti-Spyware 7.5
2007-05-28 17:19 <DIR> d-------- C:\Programme\ElcomSoft Password Recovery
2007-05-28 11:13 <DIR> d-------- C:\Programme\ActivIcons
2007-05-28 11:13 <DIR> d-------- C:\DOKUME~1\user1\ANWEND~1\CursorArts
2007-05-20 20:35 <DIR> d-------- C:\Dokumente und Einstellungen\user1\.jenny
2007-05-20 20:35 <DIR> d-------- C:\DOKUME~1\user1\.jenny
2007-05-19 17:33 <DIR> d-------- C:\DOKUME~1\user1\ANWEND~1\EverAd
2007-05-18 19:17 <DIR> d-------- C:\DOKUME~1\user1\ANWEND~1\MAGIX
2007-04-27 20:43 <DIR> d-------- C:\Documents and Settings
2007-04-22 16:03 <DIR> d-------- C:\DOKUME~1\user1\ANWEND~1\temp
2007-04-22 14:56 64,512 --a------ C:\WINDOWS\system32\MSCC2DE.dll
2007-04-22 14:56 40,960 --a------ C:\WINDOWS\system32\vmlSubTmr.dll
2007-04-22 14:56 3,035,136 --a------ C:\WINDOWS\system32\PEGRPDL.DLL
2007-04-22 14:56 119,808 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL
2007-04-22 14:56 <DIR> d-------- C:\Programme\Das Fussball Studio
2007-04-21 16:08 <DIR> d-------- C:\DOKUME~1\user1\ANWEND~1\ppStream
2007-04-18 13:04 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2007-04-18 13:04 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2007-04-18 13:03 81,920 --a------ C:\WINDOWS\system32\DLLCPY32.dll
2007-04-18 13:03 77,824 --a------ C:\WINDOWS\system32\mplaw7.dll
2007-04-18 13:03 77,824 --a------ C:\WINDOWS\system32\mplaa6.dll
2007-04-18 13:03 65,536 --a------ C:\WINDOWS\system32\mplapx.dll
2007-04-18 13:03 65,536 --a------ C:\WINDOWS\system32\mplam6.dll
2007-04-18 13:03 65,536 --a------ C:\WINDOWS\system32\DLLPTL32.dll
2007-04-18 13:03 61,440 --a------ C:\WINDOWS\system32\DLLCDF32.dll
2007-04-18 13:03 57,344 --a------ C:\WINDOWS\system32\DLLTPO32.dll
2007-04-18 13:03 53,248 --a------ C:\WINDOWS\system32\DLLPRJ32.dll
2007-04-18 13:03 49,152 --a------ C:\WINDOWS\system32\DLLPRF32.dll
2007-04-18 13:03 49,152 --a------ C:\WINDOWS\system32\DLLIO32.dll
2007-04-18 13:03 45,056 --a------ C:\WINDOWS\system32\DLLIMG32.dll
2007-04-18 13:03 401,408 --a------ C:\WINDOWS\system32\DLLAV32.dll
2007-04-18 13:03 40,960 --a------ C:\WINDOWS\system32\DLLRD32.dll
2007-04-18 13:03 36,864 --a------ C:\WINDOWS\system32\DLLPNT32.dll
2007-04-18 13:03 32,768 --a------ C:\WINDOWS\system32\STRING32.dll
2007-04-18 13:03 32,768 --a------ C:\WINDOWS\system32\DLLMSC32.dll
2007-04-18 13:03 32,768 --a------ C:\WINDOWS\system32\DLLISO32.dll
2007-04-18 13:03 32,768 --a------ C:\WINDOWS\system32\DLLDIR32.dll
2007-04-18 13:03 24,576 --a------ C:\WINDOWS\system32\TTIC32.dll
2007-04-18 13:03 24,576 --a------ C:\WINDOWS\system32\TTI32.dll
2007-04-18 13:03 24,576 --a------ C:\WINDOWS\system32\DLLIX.dll
2007-04-18 13:03 19,968 --a------ C:\WINDOWS\system32\cpuinf32.dll
2007-04-18 13:03 188,416 --a------ C:\WINDOWS\system32\DLLRES32.dll
2007-04-18 13:03 155,648 --a------ C:\WINDOWS\system32\DLLDEV32.dll
2007-04-18 13:03 143,360 --a------ C:\WINDOWS\system32\DLLDRV32.dll
2007-04-18 13:03 114,688 --a------ C:\WINDOWS\system32\DLLCDA32.dll
2007-04-18 13:03 1,650,688 --a------ C:\WINDOWS\system32\mplva6.dll
2007-04-18 13:03 1,581,056 --a------ C:\WINDOWS\system32\mplvw7.dll
2007-04-18 13:03 1,552,384 --a------ C:\WINDOWS\system32\mplvm6.dll
2007-04-18 13:03 1,122,304 --a------ C:\WINDOWS\system32\mplvpx.dll
2007-04-18 12:53 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2007-04-18 12:52 <DIR> d-------- C:\Programme\Video Deluxe 2005-2006
2007-04-18 12:51 221,184 --a------ C:\WINDOWS\system32\mgxoschk.dll
2007-04-15 20:36 <DIR> d-------- C:\DOKUME~1\user1\ANWEND~1\FRITZ!
2007-04-15 14:39 <DIR> d-------- C:\Programme\Media Player Classic WinXP
2007-04-14 20:10 367,104 --a------ C:\WINDOWS\system32\drivers\Netfwdsl.sys
2007-04-14 20:10 31,232 --a------ C:\WINDOWS\system32\i2errDeu.dll
2007-04-14 20:10 28,160 --a------ C:\WINDOWS\system32\drivers\Aadev.sys
2007-04-14 20:10 11,264 --a------ C:\WINDOWS\system32\drivers\NETDSL.SYS
2007-04-14 20:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM
2007-04-14 20:10 <DIR> d-------- C:\Programme\FRITZ!DSL
2007-04-14 20:09 53,760 -ra------ C:\WINDOWS\system32\avmadd32.dll
2007-04-14 20:09 <DIR> d-------- C:\Programme\FRITZ!Box


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-31 13:04:55 -------- d-----w C:\DOKUME~1\user1\ANWEND~1\OpenOffice.org2
2007-05-30 19:52:46 -------- d-----w C:\Programme\Ad-Aware SE Personal
2007-05-28 21:16:00 -------- d-----w C:\Programme\DScaler
2007-05-27 13:06:49 -------- d-----r C:\Programme\Foto_Manager
2007-05-26 13:05:10 -------- d-----w C:\Programme\Google Earth
2007-05-21 14:08:56 -------- d-----w C:\DOKUME~1\user1\ANWEND~1\teamspeak2
2007-05-19 16:30:03 -------- d-----w C:\Programme\ICQLite
2007-05-19 10:47:19 -------- d-----w C:\Programme\Dl_cats
2007-05-17 11:07:38 -------- d-----w C:\Programme\Paint.NET
2007-05-12 10:29:15 -------- d-----w C:\DOKUME~1\user1\ANWEND~1\XnView
2007-05-11 13:34:48 -------- d-----w C:\Programme\UMLED
2007-05-10 18:52:35 75,868 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-10 18:52:35 416,982 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-04 19:01:30 -------- d-----w C:\DOKUME~1\user1\ANWEND~1\SopCast
2007-05-01 09:58:13 65 ----a-w C:\WINDOWS\system32\BD7820N.dat
2007-04-30 18:29:41 -------- d-----w C:\Programme\TVgenial
2007-04-27 18:44:13 -------- d-----w C:\Programme\VGO Player
2007-04-20 18:41:03 -------- d-----w C:\Programme\21CN
2007-04-20 18:27:57 -------- d-----w C:\Programme\SopCast
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-18 11:06:57 -------- d-----r C:\Programme\Music_Manager
2007-04-18 11:06:15 -------- d-----r C:\Programme\MAGIX Online Druck Service
2007-03-30 15:20:33 -------- d-----w C:\DOKUME~1\user1\ANWEND~1\map&guide
2007-03-30 15:20:01 -------- d-----w C:\Programme\map&guide
2007-03-30 05:02:05 -------- d-----w C:\Programme\LSMaker
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-03-04 16:57:42 6,998 ----a-w C:\DOKUME~1\user1\ANWEND~1\unins000.dat
2007-03-04 16:56:50 684,476 ----a-w C:\DOKUME~1\user1\ANWEND~1\unins000.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\Programme\ICQToolbar\tbu13\toolbaru.dll [2006-10-10 12:18]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 16:17]
{5CA3D70E-1895-11CF-8E15-001234567890}=C:\WINDOWS\system32\dla\tfswshx.dll [2004-12-06 03:05]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar4.dll [2007-01-20 00:55]
{B6FA00D9-86EC-4158-9488-D00DFF897E86}=C:\Programme\VGO Player\VGOIEBHO.dll [2007-04-17 13:07]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SigmatelSysTrayApp"="stsystra.exe" []
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-06-17 09:56]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 18:19]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2005-01-27 03:02]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 18:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 18:50]
"Acronis True Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2006-04-30 10:10]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-04-30 10:10]
"dlccmon.exe"="C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe" [2005-07-22 21:03]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" []
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2005-05-03 09:37]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 15:54]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 16:15]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2004-11-11 23:00]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-17 12:53]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-02-23 16:45]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-11 22:06]
"UVS10 Preload"="C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-03-07 01:52]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-21 23:12]
"TVBroadcast"="C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe" [2006-11-06 22:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 16:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-01-25 08:04]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-03-19 18:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"=1 (0x1)
"AllowUnhashedWebView"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
C:\Dokumente und Einstellungen\user1\Desktop\Kopie von Skifreizeit Countdown.htm

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Programme\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2006-09-28 16:13]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- E:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
AutoRun\command- F:\autorun.exe


Contents of the 'Scheduled Tasks' folder
2006-04-30 10:04:38 C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job
2007-05-25 16:30:00 C:\WINDOWS\tasks\McAfee.com - Virenscan - Mein Computer (D93TD02J-user1).job



2. Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 21:52:49, on 30.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe
C:\WINDOWS\system32\dlcccoms.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Ad-Aware SE Personal\HJT.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kepler.foren-city.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu13\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu13\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\ybewkoyp.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {796FAD50-6DE0-4CC1-85C9-94381CDEE4A8} - C:\WINDOWS\system32\iifdeca.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: VGOIEBHO Helper - {B6FA00D9-86EC-4158-9488-D00DFF897E86} - C:\Programme\VGO Player\VGOIEBHO.dll
O2 - BHO: (no name) - {BD5E56AE-5E74-4EDE-9EE5-669CEAF49FC4} - C:\WINDOWS\system32\ssqpo.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu13\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\pqwlfsuf.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: AlarmClock Wecker - C:\PROGRA~1\AlmClock\AlmClock.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Wecker - {48B7ECC2-1846-4180-9673-4F4B864B3846} - C:\PROGRA~1\AlmClock\AlmClock.htm (HKCU)
O9 - Extra 'Tools' menuitem: AlarmClock Wecker - {48B7ECC2-1846-4180-9673-4F4B864B3846} - C:\PROGRA~1\AlmClock\AlmClock.htm (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - Winlogon Notify: iifdeca - C:\WINDOWS\SYSTEM32\iifdeca.dll
O20 - Winlogon Notify: ssqpo - C:\WINDOWS\system32\ssqpo.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


3. DatFind:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 907D-2006

Verzeichnis von C:\WINDOWS\system32

2007-05-31 15:35 2,148 wpa.dbl
2007-05-31 15:34 520 lckfldservicelog.txt
2007-05-29 22:05 1,388,750 system32_1.rar
2007-05-10 20:52 75,868 perfc007.dat
2007-05-10 20:52 402,406 perfh009.dat
2007-05-10 20:52 63,016 perfc009.dat
2007-05-10 20:52 416,982 perfh007.dat
2007-05-10 20:52 970,772 PerfStringBackup.INI
2007-05-01 11:58 65 BD7820N.dat
2007-04-27 22:45 14,970,328 MRT.exe
2007-04-20 14:30 4,196 jupdate-1.6.0_01-b06.log
2007-04-18 18:13 2,854,400 msi.dll
2007-04-18 13:08 348,200 FNTCACHE.DAT
2007-04-03 16:28 383,488 ieapfltr.dll
2007-04-03 06:36 2,453,952 ieapfltr.dat
2007-03-17 15:44 293,376 winsrv.dll
2007-03-15 15:07 163,328 sevTab.ocx
2007-03-14 02:04 69,632 javacpl.cpl
2007-03-14 02:04 139,264 javaws.exe
2007-03-14 00:31 135,168 javaw.exe
2007-03-14 00:31 135,168 java.exe
2007-03-09 13:51 270,336 xpsp3res.dll
2007-03-08 17:36 579,072 user32.dll
2007-03-08 17:36 40,960 mf3216.dll
2007-03-08 17:36 281,600 gdi32.dll
2007-03-08 17:32 1,843,712 win32k.sys
2007-03-07 19:40 232,960 webcheck.dll
2007-03-07 19:40 1,150,464 urlmon.dll
2007-03-07 19:40 822,784 wininet.dll
2007-03-07 19:40 102,400 occache.dll
2007-03-07 19:40 670,720 mstime.dll
2007-03-07 19:40 105,984 url.dll
2007-03-07 19:40 477,696 mshtmled.dll
2007-03-07 19:40 193,024 msrating.dll
2007-03-07 19:40 3,581,952 mshtml.dll
2007-03-07 19:40 458,752 msfeeds.dll
2007-03-07 19:40 1,823,744 inetcpl.cpl
2007-03-07 19:40 51,712 msfeedsbs.dll
2007-03-07 19:40 27,136 jsproxy.dll
2007-03-07 19:40 6,054,400 ieframe.dll
2007-03-07 19:40 266,752 iertutil.dll
2007-03-07 19:40 44,544 iernonce.dll
2007-03-07 19:40 384,000 iedkcs32.dll
2007-03-07 19:40 153,088 ieakeng.dll
2007-03-07 19:40 230,400 ieaksie.dll
2007-03-07 19:40 132,608 extmgr.dll
2007-03-07 19:40 124,928 advpack.dll
2007-03-07 10:27 56,832 ie4uinit.exe
2007-03-06 11:32 305,152 sevEin20.ocx
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 907D-2006

Verzeichnis von C:\DOKUME~1\user1\LOKALE~1\Temp

2007-05-31 15:41 120,309 datfind.txt
2007-05-31 15:39 346 jusched.log
2 Datei(en) 120,655 Bytes
0 Verzeichnis(se), 2,672,242,688 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 907D-2006

Verzeichnis von C:\WINDOWS

2007-05-31 15:35 261 wiadebug.log
2007-05-31 15:34 0 0.log
2007-05-31 15:34 313 wiaservc.log
2007-05-31 15:34 1,555,969 WindowsUpdate.log
2007-05-31 15:33 2,048 bootstat.dat
2007-05-31 07:29 32,572 SchedLgU.Txt
2007-05-29 21:38 351,385 setupapi.log
2007-05-29 21:05 153,308 ntbtlog.txt
2007-05-28 22:09 1,184 AZPR3.INI
2007-05-28 21:05 347 videodeLuxe.INI
2007-05-28 19:16 58 I_VIEW32.INI
2007-05-28 18:01 1,979 setupact.log
2007-05-28 17:39 1,100 ARCHPR.INI
2007-05-28 17:20 176 cdplayer.ini
2007-05-27 11:04 1,409 QTFont.for
2007-05-27 11:04 54,156 QTFont.qfn
2007-05-23 15:13 763,806 iis6.log
2007-05-23 15:13 228,110 comsetup.log
2007-05-23 15:13 137,262 ntdtcsetup.log
2007-05-23 15:13 7,699 KB927891.log
2007-05-23 15:13 32,977 tabletoc.log
2007-05-23 15:13 305,099 tsoc.log
2007-05-23 15:13 36,223 ocmsn.log
2007-05-23 15:13 1,374 imsins.log
2007-05-23 15:13 114,334 netfxocm.log
2007-05-23 15:13 323,586 ocgen.log
2007-05-23 15:13 45,630 MedCtrOC.log
2007-05-23 15:13 32,957 msgsocm.log
2007-05-23 15:13 666,683 FaxSetup.log
2007-05-23 15:13 210,776 msmqinst.log
2007-05-23 15:13 58,143 updspapi.log
2007-05-19 17:34 94,389 wmsetup.log
2007-05-12 13:08 432 brwmark.ini
2007-05-09 21:28 1,355 imsins.BAK
2007-05-09 21:28 18,313 KB931768-IE7.log
2007-05-09 21:28 11,610 KB930916.log
2007-04-27 20:44 644 psnetwork.ini
2007-04-22 17:11 123 powerplayer.ini
2007-04-14 22:55 17,444 KB931784.log
2007-04-14 22:55 15,451 KB931261.log
2007-04-14 22:55 16,010 KB925902.log
2007-04-14 22:55 14,479 KB930178.log
2007-04-14 22:54 16,398 KB932168.log
2007-04-14 20:50 250 accessdll.log
2007-04-14 20:10 107 avmsysnet.log
2007-04-14 20:09 1,899 avmadd32.log
2007-03-16 15:41 9,790 KB929399.log
2007-03-16 15:40 13,108 KB929338.log
2007-03-01 16:54 107,268 DirectX.log
2007-03-01 16:19 9,471 spupdsvc.log
2007-03-01 15:52 21,869 WgaNotify.log
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 907D-2006

Verzeichnis von C:\WINDOWS\Temp

2007-05-31 15:35 409 WGANotify.settings
2007-05-31 15:34 0 T30DebugLogFile.txt
2007-05-31 15:34 0 JETDCA4.tmp
2007-05-31 15:34 255 WGAErrLog.txt
2007-05-31 15:00 8,087,368 2007-05-31_2007-06-04.xml
2007-05-31 14:56 24,576 JETC1E8.tmp
6 Datei(en) 8,112,608 Bytes
0 Verzeichnis(se), 2,672,230,400 Bytes frei
Seitenanfang Seitenende
31.05.2007, 16:42
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

bitte folgende Files prüfen lassen,
falls eines erkannt wird bei avenger
aufnehmen ("Files to delete") und mit
Hijackthis rausschmeissen ;o)...


virustotal:

Zitat

C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\pqwlfsuf.dll
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen


Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iifdeca
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ssqpo

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifdeca
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpo



Files to delete:
C:\WINDOWS\system32\ybewkoyp.dll
C:\WINDOWS\system32\iifdeca.dll
C:\WINDOWS\system32\ssqpo.dll
C:\PROGRAMME\AlmClock\AlmClock.htm
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\ybewkoyp.dll
O2 - BHO: (no name) - {796FAD50-6DE0-4CC1-85C9-94381CDEE4A8} - C:\WINDOWS\system32\iifdeca.dll
O2 - BHO: (no name) - {BD5E56AE-5E74-4EDE-9EE5-669CEAF49FC4} - C:\WINDOWS\system32\ssqpo.dll
O9 - Extra button: Wecker - {48B7ECC2-1846-4180-9673-4F4B864B3846} - C:\PROGRA~1\AlmClock\AlmClock.htm (HKCU)
O9 - Extra 'Tools' menuitem: AlarmClock Wecker - {48B7ECC2-1846-4180-9673-4F4B864B3846} - C:\PROGRA~1\AlmClock\AlmClock.htm (HKCU)


Poste die Logs und scanne noch mit
Smitfraut
scanne mit option 1 und 2 und poste die reporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

Dann noch ein neues HJ-log (nenne ihn aber vorher auf test.exe um).

Chris
Seitenanfang Seitenende
31.05.2007, 20:06
Wiesel90
...neu hier

Themenstarter

Beiträge: 3
#5 Virustotal hat die dateien nicht als schädlich erkannt.

Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ocrglvym

*******************

Script file located at: \??\C:\fdaakvsl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ybewkoyp.dll not found!
Deletion of file C:\WINDOWS\system32\ybewkoyp.dll failed!

Could not process line:
C:\WINDOWS\system32\ybewkoyp.dll
Status: 0xc0000034



File C:\WINDOWS\system32\iifdeca.dll not found!
Deletion of file C:\WINDOWS\system32\iifdeca.dll failed!

Could not process line:
C:\WINDOWS\system32\iifdeca.dll
Status: 0xc0000034



File C:\WINDOWS\system32\ssqpo.dll not found!
Deletion of file C:\WINDOWS\system32\ssqpo.dll failed!

Could not process line:
C:\WINDOWS\system32\ssqpo.dll
Status: 0xc0000034

File C:\PROGRAMME\AlmClock\AlmClock.htm deleted successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iifdeca
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iifdeca failed!
Status: 0xc0000034



Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ssqpo
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ssqpo failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifdeca not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifdeca failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpo not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpo failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:47, on 2007-05-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\dlcccoms.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Ad-Aware SE Personal\HJT.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kepler.foren-city.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu13\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu13\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: VGOIEBHO Helper - {B6FA00D9-86EC-4158-9488-D00DFF897E86} - C:\Programme\VGO Player\VGOIEBHO.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu13\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: AlarmClock Wecker - C:\PROGRA~1\AlmClock\AlmClock.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


SmitFraudFix:

SmitFraudFix v2.189

Scan done at 19:54:46.00, 2007-05-31
Run from C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/1000 PL Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{ABFB7535-F633-496B-A275-EAFC52C95096}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{ABFB7535-F633-496B-A275-EAFC52C95096}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{ABFB7535-F633-496B-A275-EAFC52C95096}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Ein paar Dateien waren schon nichtmehr da. Wahrscheinlich wurden sie von AVG Anti-Spyware gelöscht. Die Dateien wurden schon öfter erkannt aber ich konnte sie mit AVG Anti-Spyware nicht löschen bzw. die Meldung kam immer wieder. Nun scheinen die PopUps weg zu sein. Ich werds mal abwarten ob sich noch was Meldet. Ansonsten besten DANK dafür, dass du mir so schnell helfen konntest.
Seitenanfang Seitenende
12.06.2007, 17:25
Jedy
...neu hier

Beiträge: 1
#6 Liebes Forum!
Ich habe ebenfalls dieses Problem mit diesem "Drivecleaner". Das größere Problem ist, dass ich vom Computer nicht die größte Ahnung habe. Ich bitte um Hilfe in verständlichster Form.
Danke
Jedy
Seitenanfang Seitenende
13.06.2007, 10:43
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Item 1,2,und 3 http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1