TR/Vundo.Gen nicht löschbar?? |
||
---|---|---|
#0
| ||
23.11.2007, 13:57
Member
Beiträge: 12 |
||
|
||
23.11.2007, 14:14
Member
Beiträge: 694 |
#2
Hi,
Vundofix anwenden http://www.virus-protect.org/artikel/tools/vundofixx.html Poste das Log... Danach das hier abarbeiten: http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html) - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) chris |
|
|
||
23.11.2007, 14:18
Member
Themenstarter Beiträge: 12 |
#3
Vundofix sagt, dass keine infizierten Dateien gefunden wurden.
Wie kann das sein?? Soll ich trotzdem mit den anderen Punkten fortfahren? Dieser Beitrag wurde am 23.11.2007 um 14:47 Uhr von Skellah editiert.
|
|
|
||
23.11.2007, 15:02
Member
Beiträge: 694 |
#4
Hi,
vielleicht eine neue Art oder eine Fehlmeldung von Avira... Wir werden sehen, den Rest bitte auch noch abarbeiten... sonst kommen wir nicht weiter! Chris |
|
|
||
23.11.2007, 15:34
Member
Themenstarter Beiträge: 12 |
#5
Der Log von Combofix:
ComboFix 07-11-19.3 - Sascha 2007-11-23 17:11:30.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1251.7.1033.18.573 [GMT 3:00] Running from: C:\Documents and Settings\Sascha\Desktop\ComboFix.exe * Created a new restore point . Unable to gain System Privileges ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Log\2007 Nov 23 - 03_39_39 PM_640.log C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Log\2007 Nov 23 - 03_39_52 PM_187.log C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Log\2007 Nov 23 - 03_39_57 PM_734.log C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\rs.dat C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\CustomScan.stg C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\IgnoreList.stg C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\ScanInfo.stg C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\ScanResults.stg C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\SelectedFolders.stg C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\Settings.stg C:\Program Files\FunWebProducts C:\Program Files\FunWebProducts\Shared\Cache\AvatarSmallBtn.html C:\Program Files\FunWebProducts\Shared\Cache\CursorManiaBtn.html C:\Program Files\FunWebProducts\Shared\Cache\FunBuddyIconBtn.html C:\Program Files\FunWebProducts\Shared\Cache\MyFunCardsIMBtn.html C:\Program Files\FunWebProducts\Shared\Cache\SmileyCentralBtn.html C:\Program Files\internet explorer\msimg32.dll C:\Program Files\MyWebSearch C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL C:\Program Files\MyWebSearch\bar\1.bin\M3HTML.DLL C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE C:\Program Files\MyWebSearch\bar\1.bin\MWSOEPLG.DLL C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3BKGERR.JPG C:\Program Files\MyWebSearch\bar\2.bin\F3BROVLY.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3CJPEG.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3DTACTL.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3HISTSW.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3HTMLMU.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3HTTPCT.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3IMSTUB.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3POPSWT.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3PSSAVR.SCR C:\Program Files\MyWebSearch\bar\2.bin\F3REPROX.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3RESTUB.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3SCHMON.EXE C:\Program Files\MyWebSearch\bar\2.bin\F3SCRCTR.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3SHLLVW.DLL C:\Program Files\MyWebSearch\bar\2.bin\F3SPACER.WMV C:\Program Files\MyWebSearch\bar\2.bin\F3WALLPP.DAT C:\Program Files\MyWebSearch\bar\2.bin\F3WPHOOK.DLL C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.JAR C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.MANIFEST C:\Program Files\MyWebSearch\bar\2.bin\M3HTML.DLL C:\Program Files\MyWebSearch\bar\2.bin\M3IDLE.DLL C:\Program Files\MyWebSearch\bar\2.bin\M3IMPIPE.EXE C:\Program Files\MyWebSearch\bar\2.bin\M3MSG.DLL C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.JAR C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.MANIFEST C:\Program Files\MyWebSearch\bar\2.bin\M3OUTLCN.DLL C:\Program Files\MyWebSearch\bar\2.bin\M3PLUGIN.DLL C:\Program Files\MyWebSearch\bar\2.bin\M3SKIN.DLL C:\Program Files\MyWebSearch\bar\2.bin\M3SKPLAY.EXE C:\Program Files\MyWebSearch\bar\2.bin\M3SLSRCH.EXE C:\Program Files\MyWebSearch\bar\2.bin\M3SRCHMN.EXE C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE C:\Program Files\MyWebSearch\bar\2.bin\MWSOEPLG.DLL C:\Program Files\MyWebSearch\bar\2.bin\MWSOESTB.DLL C:\Program Files\MyWebSearch\bar\2.bin\NPMYWEBS.DLL C:\Program Files\MyWebSearch\bar\Avatar\COMMON.F3S C:\Program Files\MyWebSearch\bar\Cache\0070BCA8.bin C:\Program Files\MyWebSearch\bar\Cache\0070E638.bin C:\Program Files\MyWebSearch\bar\Cache\0070E8C9.bin C:\Program Files\MyWebSearch\bar\Cache\0070EC82.bin C:\Program Files\MyWebSearch\bar\Cache\0070F04A.bin C:\Program Files\MyWebSearch\bar\Cache\0070F358 C:\Program Files\MyWebSearch\bar\Cache\007353AE.bin C:\Program Files\MyWebSearch\bar\Cache\007356EA.bin C:\Program Files\MyWebSearch\bar\Cache\007358FD.bin C:\Program Files\MyWebSearch\bar\Cache\007366A9.bin C:\Program Files\MyWebSearch\bar\Cache\0160202A C:\Program Files\MyWebSearch\bar\Cache\files.ini C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S C:\Program Files\MyWebSearch\bar\Game\CHESS.F3S C:\Program Files\MyWebSearch\bar\Game\REVERSI.F3S C:\Program Files\MyWebSearch\bar\History\search2 C:\Program Files\MyWebSearch\bar\icons\CM.ICO C:\Program Files\MyWebSearch\bar\icons\MFC.ICO C:\Program Files\MyWebSearch\bar\icons\PSS.ICO C:\Program Files\MyWebSearch\bar\icons\SMILEY.ICO C:\Program Files\MyWebSearch\bar\icons\WB.ICO C:\Program Files\MyWebSearch\bar\icons\ZWINKY.ICO C:\Program Files\MyWebSearch\bar\Message\COMMON.F3S C:\Program Files\MyWebSearch\bar\Notifier\COMMON.F3S C:\Program Files\MyWebSearch\bar\Notifier\DOG.F3S C:\Program Files\MyWebSearch\bar\Notifier\FISH.F3S C:\Program Files\MyWebSearch\bar\Notifier\KUNGFU.F3S C:\Program Files\MyWebSearch\bar\Notifier\LIFEGARD.F3S C:\Program Files\MyWebSearch\bar\Notifier\MAID.F3S C:\Program Files\MyWebSearch\bar\Notifier\MAILBOX.F3S C:\Program Files\MyWebSearch\bar\Notifier\OPERA.F3S C:\Program Files\MyWebSearch\bar\Notifier\ROBOT.F3S C:\Program Files\MyWebSearch\bar\Notifier\SEDUCT.F3S C:\Program Files\MyWebSearch\bar\Notifier\SURFER.F3S C:\Program Files\MyWebSearch\bar\Settings\prevcfg2.htm C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL C:\WINDOWS\system32\aybeg.ini C:\WINDOWS\system32\aybeg.ini2 C:\WINDOWS\system32\f3PSSavr.scr C:\WINDOWS\system32\gebya.dll C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job . ((((((((((((((((((((((((( Files Created from 2007-10-23 to 2007-11-23 ))))))))))))))))))))))))))))))) . 2007-11-23 16:34 <DIR> d-------- C:\VundoFix Backups 2007-11-22 19:28 <DIR> d-------- C:\Documents and Settings\Sascha\Application Data\Quark 2007-11-22 19:20 <DIR> d-------- C:\Program Files\Quark 2007-11-21 18:41 <DIR> d-------- C:\Program Files\CrossADe 2007-11-21 18:41 <DIR> d-------- C:\Documents and Settings\Sascha\Application Data\Cross+A 2007-11-20 18:34 37,376 --------- C:\WINDOWS\system32\byxxyya.dll 2007-11-20 15:37 <DIR> d-------- C:\games 2007-11-17 16:20 2,841,064 --a------ C:\Shockwave_Installer_Slim.exe 2007-11-17 16:04 <DIR> d-------- C:\Program Files\Norton Security Scan 2007-11-17 16:03 <DIR> d-------- C:\Program Files\Google 2007-11-10 19:11 6,114 --a------ C:\WINDOWS\system32\SHELLLNK.TLB 2007-11-08 19:55 <DIR> d-------- C:\Program Files\StuffPlug3 2007-11-08 19:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus! 2007-11-08 19:52 <DIR> d-------- C:\Program Files\Windows Live 2007-11-08 19:52 <DIR> d-------- C:\Program Files\Messenger Plus! Live 2007-11-04 17:51 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2007-11-04 17:51 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2007-11-04 17:51 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-04 14:32 <DIR> d-------- C:\Program Files\America's Army Server Manager 2007-10-30 17:01 <DIR> d-------- C:\WIN-MAZ 2007-10-30 16:06 <DIR> d-------- C:\WINFKT 2007-10-30 16:01 <DIR> d-------- C:\METATRAI 2007-10-30 15:59 <DIR> d-------- C:\WINCHEM 2007-10-30 15:57 462,848 -ra------ C:\WINDOWS\system32\Nmw3vwn.dll 2007-10-30 15:57 240,640 -ra------ C:\WINDOWS\system32\Nmocod.dll 2007-10-30 15:57 169,472 -ra------ C:\WINDOWS\system32\Html.ocx 2007-10-30 15:57 66,560 -ra------ C:\WINDOWS\system32\Nmorenu.dll 2007-10-30 15:57 48,128 -ra------ C:\WINDOWS\system32\Nmsckn.dll 2007-10-29 15:56 <DIR> d-------- C:\Documents and Settings\Sascha\Application Data\Microsoft Web Folders 2007-10-27 15:30 <DIR> d-------- C:\Program Files\Macrogaming . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-21 15:32 --------- d-----w C:\Documents and Settings\Sascha\Application Data\LimeWire 2007-11-08 16:55 --------- d-----w C:\Program Files\MSN Messenger 2007-11-06 13:40 --------- d-----w C:\Documents and Settings\111\Application Data\LimeWire 2007-11-04 10:55 --------- d-----w C:\Program Files\ICQToolbar 2007-10-31 11:29 --------- d-----w C:\Program Files\BitTorrent_DNA 2007-10-31 11:27 --------- d-----w C:\Documents and Settings\Sascha\Application Data\BitTorrent DNA 2007-10-29 13:01 --------- d-----w C:\Program Files\microsoft frontpage 2007-10-11 12:39 --------- d-----w C:\Documents and Settings\111\Application Data\Corel 2007-10-09 13:27 --------- d-----w C:\Program Files\Zoom Player 2007-10-02 13:15 --------- d-----w C:\Program Files\Common Files\Download Manager 2007-10-01 11:59 --------- d-----w C:\Documents and Settings\Sascha\Application Data\Corel 2007-09-29 12:40 --------- d-----w C:\Program Files\Maxis 2007-09-27 17:13 --------- d-----w C:\Program Files\ICQLite 2007-09-27 15:34 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-09-27 10:10 8,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2007-09-27 09:49 --------- d-----w C:\Program Files\Corel 2007-09-27 09:49 --------- d-----w C:\Program Files\Common Files\Corel 2007-09-26 16:21 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-09-26 16:20 --------- d-----w C:\Program Files\MSXML 4.0 2007-09-26 08:01 --------- d-----w C:\Program Files\CheckPoint 2007-09-24 11:47 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd6189.sys 2003-07-25 08:42 176,128 ----a-w C:\Program Files\ddxgb.exe 2006-11-15 17:39 56 --sh--r C:\WINDOWS\system32\33A40ECA1D.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}] 2007-11-20 18:34 37376 --------- C:\WINDOWS\system32\byxxyya.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:56] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-17 16:03] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="atiptaxx.exe" [2006-02-22 04:05 C:\WINDOWS\system32\atiptaxx.exe] "ddxgb"="C:\Program Files\ddxgb.exe" [2003-07-25 11:42] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 15:37] "NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 11:50] "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 18:58] "iTunesHelper"="E:\itunes\iTunesHelper.exe" [2006-10-30 09:36] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02] "PCSuiteTrayApplication"="D:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-06-15 11:36] "ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 15:30] "ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2004-08-03 23:56] C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ Adobe Reader - Schnellstart.lnk - D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26] BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-11-29 19:55:44] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 11:15:54] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "EditLevel"= 0 (0x0) "NoCommonGroups"= 0 (0x0) [hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{ED203331-9C33-49D8-8714-D24A366A04EC}"= C:\WINDOWS\system32\byxxyya.dll [2007-11-20 18:34 37376] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxyya] byxxyya.dll 2007-11-20 18:34 37376 C:\WINDOWS\system32\byxxyya.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify] ckpNotify.dll 2007-01-30 08:18 24674 C:\WINDOWS\system32\ckpNotify.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\gebya.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 Amsmpu4p;Amsmpu4p;\??\C:\WINDOWS\System32\Drivers\Amsmpu4p.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys R1 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys R2 CP_OMDRV;Check Point Office Mode Module;C:\WINDOWS\system32\drivers\omdrv.sys R2 Scap;SecureClient Application Policy Module;C:\WINDOWS\system32\DRIVERS\Scap.sys R2 VNASC;Check Point Virtual Network Adapter - SecureClient;C:\WINDOWS\system32\DRIVERS\vnasc.sys R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys R3 ADM8511;ADMtek ADM8511/AN986 USB To Fast Ethernet Converter;C:\WINDOWS\system32\DRIVERS\ADM8511.SYS S1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys S3 OMVA;VPN-1 SecureClient Adapter;C:\WINDOWS\system32\DRIVERS\OMVA.sys S4 ifp700;iriver Internet Audio Player IFP-700;C:\WINDOWS\system32\Drivers\ifp700.sys . Contents of the 'Scheduled Tasks' folder "2007-11-18 14:56:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-11-17 13:04:55 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Program Files\Norton Security Scan\Nss.exe . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-23 17:26:09 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-23 17:29:41 - machine was rebooted . --- E O F --- |
|
|
||
23.11.2007, 15:40
Member
Beiträge: 694 |
#6
Hi,
HJ-Log fehlt, bitte nachreichen! Bitte folgende Files prüfen: Zitat C:\Program Files\ddxgb.exehttp://www.virustotal.com/flash/index_en.html Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Logs mit Filenamen, das letzte sollte eigentlich klar sein (falls es nicht erkannt wird, NICHT weitermachen!) Bisher bereits erkennbar: C:\WINDOWS\system32\byxxyya.dll Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Chris |
|
|
||
23.11.2007, 15:47
Member
Themenstarter Beiträge: 12 |
#7
Die anderen Logs hier:
Der Datfind Log ist im Anhang Hijackthis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:37:46, on 23.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe E:\itunes\iTunesHelper.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe D:\Program Files\FolderSizeSvc.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe D:\Program Files\Opera\Opera.exe C:\Documents and Settings\Sascha\Desktop\Hijack\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\byxxyya.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [ddxgb] C:\Program Files\ddxgb.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN O8 - Extra context menu item: Senden an &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://213.70.229.154/tsweb/msrdp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2B583DAC-297B-4D3B-8A38-74F1CF507722}: NameServer = 195.34.32.116 212.188.4.10 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: byxxyya - C:\WINDOWS\SYSTEM32\byxxyya.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Folder Size (FolderSize) - Brio - D:\Program Files\FolderSizeSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7926 bytes Anhang: datfind.txt Dieser Beitrag wurde am 23.11.2007 um 15:52 Uhr von Skellah editiert.
|
|
|
||
23.11.2007, 15:59
Member
Beiträge: 694 |
#8
Hi,
Ok, hast Du das Scripts mittlerweile schon ausgeführt? Online bitte ebenfalls noch die 3B55C55923.sys scannen! Chris |
|
|
||
23.11.2007, 16:04
Member
Themenstarter Beiträge: 12 |
#9
Hi,
Bin grade am überprüfen der Dateien online. Werde dann die Ergebnise posten. eines habe ich schon (dauerte etwas) C:\Program Files\ddxgb.exe : Datei ddxgb.exe empfangen 2007.11.23 15:55:24 (CET) Status: Beendet Ergebnis: 0/32 (0%) Wo finde ich die 3B55C55923.sys? Danke |
|
|
||
23.11.2007, 16:05
Member
Beiträge: 694 |
||
|
||
23.11.2007, 16:06
Member
Beiträge: 694 |
#11
Hi,
okay, habe die C:\Program Files\ddxgb.exe rausgenommen... Warte auf die Ergebnisse dann kommt der Rundschlag... chris |
|
|
||
23.11.2007, 16:11
Member
Themenstarter Beiträge: 12 |
#12
Hi,
C:\WINDOWS\system32\gebya.dll wird schon seit 10 minuten auf virustotal hochgeladen und ich kann diese datei auch nicht im explorer finden. von der C:\WINDOWS\system32\byxxyya.dll kann ich sagen dass antivir dadrinne immen TR/Agent.37376 oder so findet. Trotzdem noch auf virustotal hochladen? Untersuche jetzt C:\WINDOWS\system32\3B55C55923.sys Danke |
|
|
||
23.11.2007, 16:14
Member
Beiträge: 694 |
#13
Hi,
nein beide Dateien sind eigentlich Vundo-zuzuordnen... War nur um sicher zu gehen... Bitte das hier abarbeiten, wobei ich mir bei der Toolbar (:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll) nicht ganz sicher bin.... Eventuell nachinstallieren oder aus Avengerback zurückführen: Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Poste die Logs von Avenger und ein neues HJ-Log... Chris |
|
|
||
23.11.2007, 16:19
Member
Themenstarter Beiträge: 12 |
#14
Hi,
Bevor ich den Skript ausführe- 3B55C55923.sys überprüfung ist fertig: Datei 3B55C55923.sys empfangen 2007.11.23 16:12:30 (CET) Status: Beendet Ergebnis: 0/32 (0%) Danke Avenger Log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jdprjacq ******************* Script file located at: \??\C:\gjpkmusn.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\gebya.dll not found! Deletion of file C:\WINDOWS\system32\gebya.dll failed! Could not process line: C:\WINDOWS\system32\gebya.dll Status: 0xc0000034 File C:\WINDOWS\system32\byxxyya.dll deleted successfully. File C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxyya deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. WIll jetzt das mit dem Hijackthis Fixen machen. Habe gescannt und alles markiert und auf fix gedrückt und denn kommt ne meldung: "You selected to fix everything Hijackthis has foun. THis may mean items important to your system will be deleted and the full functionality of your system will degrade......" Ist das Ok so oder habe ich dich falsch verstanden= Danke Dieser Beitrag wurde am 23.11.2007 um 16:39 Uhr von Skellah editiert.
|
|
|
||
23.11.2007, 16:42
Member
Beiträge: 694 |
#15
Hi,
nein nur die Sachen ankreuzen die ich angegeben habe, sonst ruinierst Du Dir das System! Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge (siehe unten) Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
chris |
|
|
||
Ich habe auch schon in einigen Foren rumgestöbert, allerdings kann ich damit nicht sehr viel anfangen. Ich hoffe ich werde das DIng los, indem ich mich an euch wende.
Was muss ich machen?? Hoffe auf schnelle Hilfe
Danke