ADClickervirus, Hijackerlog schon gemacht.

#1 Hallo
Ich hab dieses Forum entdeckt und hoffe ihr könnt helfen. hab das Avanger Programm runtergeladen und ein Hijackerlog gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 14:56:43, on 14.12.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Dokumente und Einstellungen\Tomke\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll
O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - Global Startup: Einstellungen (2).lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe



könnt ihr mir sagen wie ich weiter vorgehen kann?


danke schonma
mfg
Ekmot

#2 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

c:\windows\system32\dmscriptw.dll
C:\WINDOWS\System32\dmconfigb.dll

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#3 "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

kommt bei beiden datein...
sagt euch das was, oder muss ich dir firewall vom router irgendwie umgehen?

#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll
O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.h
O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus

#5 Combofix

Zitat

ComboFix 07-12-16.3 - Tomke 2007-12-16 18:44:52.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.235 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tomke\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\koos.exe
C:\WINDOWS\system32\kprof
C:\WINDOWS\system32\poof

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_POOF


((((((((((((((((((((((( Dateien erstellt von 2007-11-16 bis 2007-12-16 ))))))))))))))))))))))))))))))
.

2007-12-14 14:41 . 2007-12-14 14:55 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-14 14:41 . 2007-12-14 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\Tomke\Anwendungsdaten\PC Tools
2007-12-14 14:41 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-14 14:41 . 2007-12-14 14:42 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-14 14:41 . 2007-12-14 14:42 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-14 14:41 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-14 14:41 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-11-28 11:04 . 2007-11-28 11:04 <DIR> d-------- C:\Dokumente und Einstellungen\Tomke\Anwendungsdaten\Apple Computer
2007-11-28 11:03 . 2007-11-30 12:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-28 11:03 . 2007-11-28 11:03 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-18 20:13 . 2007-11-20 13:04 35,072 --a------ C:\WINDOWS\system32\pmwnchyy.dat
2007-11-18 20:10 . 2007-11-18 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\Tomke\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-16 17:34 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-12-06 21:46 19,456 ----a-w C:\WINDOWS\system32\drivers\xogubdno.dat
2007-11-01 13:55 --------- d-----w C:\Dokumente und Einstellungen\Tomke\Anwendungsdaten\vlc
2007-10-24 14:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-21 20:57 --------- d-----w C:\Programme\Canon
2007-10-21 20:56 --------- d-----w C:\Programme\Gemeinsame Dateien\CANON
2007-10-21 20:47 --------- d--h--w C:\Programme\CanonBJ
2007-10-21 20:47 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-10-21 16:29 --------- d-----w C:\Programme\PowerISO
2007-10-21 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Visions
2007-10-21 14:49 0 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLds.DAT
2007-10-21 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-24 18:25 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2007-04-21 17:54 1 -c--a-w C:\Dokumente und Einstellungen\Tomke\SI.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85B50F06-845B-4CD8-B8C9-15F77846BE1E}]
2007-12-16 18:46 82944 --a------ c:\windows\system32\dmscriptw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D8C54DF6-5982-4EEA-9967-AA227EC4A2EF}]
2001-08-18 13:00 101376 --a------ C:\WINDOWS\System32\dmconfigb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CanonMyPrinter"="C:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 17:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\djxsjqbh]
dmscriptw.dll 2007-12-16 18:46 82944 C:\WINDOWS\system32\dmscriptw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R0 yustfluh;yustfluh;C:\WINDOWS\System32\drivers\xogubdno.dat
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R2 ycqkwdnc;Logitech SetPoint Mouse Filter Helper;C:\WINDOWS\System32\svchost.exe -k netsvcs
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\System32\PLCNDIS5.SYS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ycqkwdnc

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 19:12:37
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\dmscriptw.dll
-> C:\WINDOWS\System32\NavLogon.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106]
-> c:\windows\system32\dmscriptw.dll
.
Zeit der Fertigstellung: 2007-12-16 19:13:20 - machine was rebooted

HijackThis

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:57, on 16.12.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Tomke\Desktop\HiJackThis\HJT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll
O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Einstellungen (2).lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3643 bytes

Datfind.dat

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E494-EB59

Verzeichnis von C:\WINDOWS\system32

16.12.2007 18:47 60.366 perfc009.dat
16.12.2007 18:47 397.374 perfh009.dat
16.12.2007 18:47 73.018 perfc007.dat
16.12.2007 18:47 411.168 perfh007.dat
16.12.2007 18:47 953.608 PerfStringBackup.INI
16.12.2007 18:46 82.944 dmscriptw.dll
15.12.2007 18:29 36.096 wfzszook.dat
15.12.2007 18:23 2.206 wpa.dbl
13.12.2007 21:26 156.160 swreg.exe
11.12.2007 18:59 119.552 eliveiax.dat
08.12.2007 14:16 83.456 dmscriptw.dll.bak
06.12.2007 22:46 42.240 enheaigy.dat
04.12.2007 01:00 136.704 swsc.exe
20.11.2007 13:04 35.072 pmwnchyy.dat
09.11.2007 18:01 1.188.375 libeay32.dll
09.11.2007 18:01 246.545 libssl32.dll
09.11.2007 18:01 741.632 awhcqfuu.dat
21.10.2007 15:54 106.216 FNTCACHE.DAT

2014 Datei(en) 390.485.492 Bytes
0 Verzeichnis(se), 64.384.823.296 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E494-EB59

Verzeichnis von C:\DOKUME~1\Tomke\LOKALE~1\Temp

16.12.2007 19:17 98.560 datfind.txt
16.12.2007 19:16 4 nncmftry.ini
2 Datei(en) 98.564 Bytes
0 Verzeichnis(se), 64.384.851.968 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E494-EB59

Verzeichnis von C:\WINDOWS

16.12.2007 19:12 227 system.ini
16.12.2007 18:47 0 0.log
16.12.2007 18:46 159 wiadebug.log
16.12.2007 18:46 50 wiaservc.log
16.12.2007 18:46 2.048 bootstat.dat
16.12.2007 18:46 32.626 SchedLgU.Txt
16.12.2007 18:39 0 setuperr.log
16.12.2007 18:39 60 setupact.log
30.11.2007 12:27 54.156 QTFont.qfn
28.11.2007 11:03 1.409 QTFont.for
11.10.2007 17:43 202 NeroDigital.ini
08.10.2007 19:26 23 BlendSettings.ini

73 Datei(en) 6.285.352 Bytes
0 Verzeichnis(se), 64.384.847.872 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E494-EB59

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E494-EB59

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 11:21 5.021 swflash.inf

2 Datei(en) 5.086 Bytes
0 Verzeichnis(se), 64.384.847.872 Bytes frei
.
.
.

#6 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal

C:\WINDOWS\System32\drivers\xogubdno.dat
C:\WINDOWS\system32\drivers\oreans32.sys

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#7 bei "C:\WINDOWS\System32\drivers\xogubdno.dat "
kommt
"0 bytes size received / Se ha recibido un archivo vacio"

bei "C:\WINDOWS\system32\drivers\oreans32.sys"
kommt
Die Datei wurde bereits analysiert:
MD5: aad837bf3b475092fd515cd0842334e9
Datum 2007.12.25 10:00:03 (CET) [+1D]
Ergebnisse 1/32
Permalink: resultado.html?51a158343471a25ee75b184e622bcd84

und bei der permalinkseite:
Ergebnis: 1/32 (3.13%)
CAT-QuickHeal - - Rootkit.Agent.ad



hilft das weiter?

#8 das hier wurde wohl ne zeit lang übersehen.

wie siehts aus, hat noch wer hilfe für mich, oder muss ich den rechner einschmelzen?

mfg
Tomke Reibisch

#9 Ekmot

wende Avenger an:
http://www.virus-protect.org/artikel/tools/avenger.html

kopiere rein (siehe Anleitung)

Zitat

drivers to unload:
C:\WINDOWS\system32\drivers\oreans32.sys

Files to delete:
C:\WINDOWS\system32\dmscriptw.dll
C:\WINDOWS\system32\wfzszook.dat
C:\WINDOWS\system32\eliveiax.dat
C:\WINDOWS\system32\dmscriptw.dll.bak
C:\WINDOWS\system32\enheaigy.dat
C:\WINDOWS\system32\pmwnchyy.dat
C:\WINDOWS\system32\awhcqfuu.dat
C:\WINDOWS\system32\drivers\oreans32.sys

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

»
dann poste neue logs von:
HijackTHis
Combofix
datfindbat
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Avanger zeigt nach reboot folgende meldung:

"Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.

Could not open script file! Status: 0xc0000034 Abort!"

trotzdem erstma combofix und datfind und hijack this?

#11 Ekmot

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
--------------

Zitat

Driver::
C:\WINDOWS\system32\drivers\oreans32.sys

File::
C:\WINDOWS\system32\dmscriptw.dll
C:\WINDOWS\system32\wfzszook.dat
C:\WINDOWS\system32\eliveiax.dat
C:\WINDOWS\system32\dmscriptw.dll.bak
C:\WINDOWS\system32\enheaigy.dat
C:\WINDOWS\system32\pmwnchyy.dat
C:\WINDOWS\system32\awhcqfuu.dat
C:\WINDOWS\system32\drivers\oreans32.sys

und mit der rechten Maustaste auf das Symbol von Combofix ziehen


dann wende die Combofix noch mal an - tippe: 1
und poste den Report von Combofix

--

dann poste neue logs von:
HijackTHis
datfindbat
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 Hallo
Vielen Dank für eure Hilfe bis jetzt! Ich glaub eine böse Datei is erfolgreich gelöscht worden, aber Viren sind immer noch da.

ComboFix:

Zitat

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\awhcqfuu.dat
C:\WINDOWS\system32\dmscriptw.dll
C:\WINDOWS\system32\dmscriptw.dll.bak
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\eliveiax.dat
C:\WINDOWS\system32\enheaigy.dat
C:\WINDOWS\system32\pmwnchyy.dat
C:\WINDOWS\system32\wfzszook.dat
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awhcqfuu.dat
C:\WINDOWS\system32\dmscriptw.dll . . . . Nicht in der Lage zu löschen
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\eliveiax.dat
C:\WINDOWS\system32\enheaigy.dat
C:\WINDOWS\system32\pmwnchyy.dat
C:\WINDOWS\system32\wfzszook.dat
C:\WINDOWS\system32\dmscriptw.dll . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-18 bis 2008-02-18 ))))))))))))))))))))))))))))))
.

2008-02-02 17:21 . 2008-02-02 17:21 <DIR> d-------- C:\Programme\Ulead Systems
2008-02-02 17:21 . 1997-10-17 10:17 171,008 --a------ C:\WINDOWS\Upi41022.exe
2008-02-02 17:21 . 1997-11-03 23:17 34,816 --a------ C:\WINDOWS\Upi41021.dll
2008-02-02 17:21 . 1997-10-08 01:44 16,896 --a------ C:\WINDOWS\Upi41022.dll
2008-02-02 17:21 . 1995-10-17 02:41 13,678 --a------ C:\WINDOWS\Upi41022.ubm
2008-02-02 17:21 . 1997-02-09 09:17 10,418 --a------ C:\WINDOWS\UPI41022.INF
2008-02-02 17:21 . 2008-02-02 17:31 4,224 --a------ C:\WINDOWS\ULEAD32.INI
2008-01-28 20:21 . 2008-01-28 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Tomke\Anwendungsdaten\Canon
2008-01-19 13:47 . 2008-01-19 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Tomke\Anwendungsdaten\dvdcss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-18 11:56 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-06 13:15 19,584 ----a-w C:\WINDOWS\system32\drivers\xogubdno.dat
2007-10-21 14:49 0 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLds.DAT
2007-09-24 18:25 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2007-04-21 17:54 1 -c--a-w C:\Dokumente und Einstellungen\Tomke\SI.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85B50F06-845B-4CD8-B8C9-15F77846BE1E}]
2008-02-18 13:02 86528 --a------ c:\windows\system32\dmscriptw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D8C54DF6-5982-4EEA-9967-AA227EC4A2EF}]
2001-08-18 13:00 101376 --a------ C:\WINDOWS\System32\dmconfigb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CanonMyPrinter"="C:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 17:50 1603152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 03:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\djxsjqbh]
dmscriptw.dll 2008-02-18 13:02 86528 C:\WINDOWS\system32\dmscriptw.dll

R0 yustfluh;yustfluh;C:\WINDOWS\System32\drivers\xogubdno.dat []
R2 ycqkwdnc;Logitech SetPoint Mouse Filter Helper;C:\WINDOWS\System32\svchost.exe [2001-08-18 13:00]
S1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys []
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\PLCNDIS5.SYS [2002-09-10 05:44]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ycqkwdnc

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 13:04:33
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\System32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-18 13:05:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-18 12:05:52
ComboFix2.txt 2007-12-16 18:13:20

HijackThis:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:27, on 18.02.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tomke\Desktop\Antivirusoperation!\HiJackThis\HJT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll
O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Einstellungen (2).lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3663 bytes

Datfindbat:

Zitat

Verzeichnis von C:\WINDOWS\system32

18.02.2008 13:12 35.072 pmwnchyy.dat
18.02.2008 13:12 741.632 awhcqfuu.dat
18.02.2008 13:12 42.752 enheaigy.dat
18.02.2008 13:12 36.608 wfzszook.dat
18.02.2008 13:12 120.576 eliveiax.dat
18.02.2008 13:02 86.528 dmscriptw.dll
17.02.2008 15:50 2.206 wpa.dbl
31.01.2008 21:45 83.968 bczhacd.bak
16.12.2007 18:47 60.366 perfc009.dat
16.12.2007 18:47 397.374 perfh009.dat
16.12.2007 18:47 411.168 perfh007.dat
16.12.2007 18:47 73.018 perfc007.dat
16.12.2007 18:47 953.608 PerfStringBackup.INI
04.12.2007 01:00 136.704 swsc.exe
09.11.2007 18:01 1.188.375 libeay32.dll
09.11.2007 18:01 246.545 libssl32.dll


Verzeichnis von C:\DOKUME~1\Tomke\LOKALE~1\Temp

18.02.2008 13:52 98.736 datfind.txt
18.02.2008 13:51 114.688 ~DF48B3.tmp
18.02.2008 13:12 4 nncmftry.ini


Verzeichnis von C:\WINDOWS

18.02.2008 13:04 227 system.ini
18.02.2008 13:04 0 0.log
18.02.2008 13:04 159 wiadebug.log
18.02.2008 13:04 50 wiaservc.log
18.02.2008 13:04 2.048 bootstat.dat
18.02.2008 13:03 32.630 SchedLgU.Txt
10.02.2008 13:23 4.980 setupapi.log
02.02.2008 17:31 4.224 ULEAD32.INI
06.01.2008 20:01 736 urgubdhu.txt
29.12.2007 16:32 280 Windows Update.log
16.12.2007 18:39 0 setuperr.log
16.12.2007 18:39 60 setupact.log
30.11.2007 12:27 54.156 QTFont.qfn
28.11.2007 11:03 1.409 QTFont.for


Verzeichnis von C:\WINDOWS\temp

18.02.2008 13:12 4 nncmftry.ini


Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 11:21 5.021 swflash.inf

#13 Ekmot

HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked.

Zitat

O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll

O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll

O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll

1.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

yustfluh

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

gleiches mit:

oreans32

djxsjqbh

{85B50F06-845B-4CD8-B8C9-15F77846BE1E}

{D8C54DF6-5982-4EEA-9967-AA227EC4A2EF}

dmscriptw.dll

dmconfigb.dll

---------------------------------------------------------
2.
Lade otmoveIt
http://virus-protect.org/artikel/tools/otmoveIt.html

3.
boote in den abgesicherten Modus - dort kopiere IN otmoveItfolgendes rein + klicken: CleanUp! button

Zitat

C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\drivers\xogubdno.dat
C:\WINDOWS\urgubdhu.txt
C:\WINDOWS\system32\dmscriptw.dll
C:\WINDOWS\System32\dmconfigb.dll
C:\WINDOWS\system32\pmwnchyy.dat
C:\WINDOWS\system32\awhcqfuu.dat
C:\WINDOWS\system32\enheaigy.dat
C:\WINDOWS\system32\wfzszook.dat
C:\WINDOWS\system32\eliveiax.dat
C:\WINDOWS\system32\bczhacd.bak
C:\WINDOWS\system32\swsc.exe
C:\WINDOWS\temp\nncmftry.ini

nach neustart poste den Report

--------------
4.
falls es nicht klappt, versuche es mit gvkiller (auch im abgesicherten Modus)
http://virus-protect.org/artikel/tools/gvkiller.html

5.
dann poste das neue Log von HijackThis + die Dateien von datfindbat
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Ich hatte Probleme mit dem abgesicherten Modus. Funktionierte mit F8 nicht so richtig... musste also die etwas unkonventionelle methode benutzen und während des Hochfahrens Reset drücken....
Außerdem hat OTMoveIt sich immer aufgehängt, hab daher GVKiller benutzt.
Hier die Logs:

RegSearch:

Zitat

Yustfluh:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YUSTFLUH]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YUSTFLUH\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YUSTFLUH\0000]
"Service"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YUSTFLUH\0000]
"DeviceDesc"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YUSTFLUH\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YUSTFLUH\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YUSTFLUH\0000\Control]
"ActiveService"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yustfluh]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yustfluh]
"Name"="\\yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yustfluh\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yustfluh\Enum]
"0"="Root\\LEGACY_YUSTFLUH\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_YUSTFLUH]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_YUSTFLUH\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_YUSTFLUH\0000]
"Service"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_YUSTFLUH\0000]
"DeviceDesc"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_YUSTFLUH\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\yustfluh]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\yustfluh]
"Name"="\\yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YUSTFLUH]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YUSTFLUH\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YUSTFLUH\0000]
"Service"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YUSTFLUH\0000]
"DeviceDesc"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YUSTFLUH\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YUSTFLUH\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YUSTFLUH\0000\Control]
"ActiveService"="yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yustfluh]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yustfluh]
"Name"="\\yustfluh"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yustfluh\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yustfluh\Enum]
"0"="Root\\LEGACY_YUSTFLUH\\0000"


Oreans32:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000]
"DeviceDesc"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32]
"DisplayName"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum]
"0"="Root\\LEGACY_OREANS32\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_OREANS32]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_OREANS32\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_OREANS32\0000]
"DeviceDesc"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_OREANS32\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\oreans32]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\oreans32]
"DisplayName"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\oreans32\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
"DeviceDesc"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32]
"DisplayName"="oreans32"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
"0"="Root\\LEGACY_OREANS32\\0000"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\djxsjqbh]



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85B50F06-845B-4CD8-B8C9-15F77846BE1E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85B50F06-845B-4CD8-B8C9-15F77846BE1E}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Ojzxqrkd\CLSID]
@="{85B50F06-845B-4CD8-B8C9-15F77846BE1E}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{85B50F06-845B-4CD8-B8C9-15F77846BE1E}]



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D8C54DF6-5982-4EEA-9967-AA227EC4A2EF}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D8C54DF6-5982-4EEA-9967-AA227EC4A2EF}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D8C54DF6-5982-4EEA-9967-AA227EC4A2EF}]



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85B50F06-845B-4CD8-B8C9-15F77846BE1E}\InprocServer32]
@="c:\\windows\\system32\\dmscriptw.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\djxsjqbh]
"DLLName"="dmscriptw.dll"



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D8C54DF6-5982-4EEA-9967-AA227EC4A2EF}\InprocServer32]
@="C:\\WINDOWS\\System32\\dmconfigb.dll"

GV-Killer:

Zitat

Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 04.03.2008 15:00:12 log van Tomke , Beheerder van deze computer
Platform: Windows XP Prof SP1 DEU Normale modus

BEGIN Geplande taken-----------------------------------------------------------------
EINDE Geplande taken-----------------------------------------------------------------


Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
AtiExtEvent Ati2evxx.dll
NavLogon C:\WINDOWS\System32\NavLogon.dll
Einde Notify keys--------------------------------------------------------------------

Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde Errorcodes--------------------------------------------------------------------

BEGIN Inhoud van Input.txt-----------------------------------------------------------
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\drivers\xogubdno.dat
C:\WINDOWS\urgubdhu.txt
C:\WINDOWS\system32\dmscriptw.dll
C:\WINDOWS\System32\dmconfigb.dll
C:\WINDOWS\system32\pmwnchyy.dat
C:\WINDOWS\system32\awhcqfuu.dat
C:\WINDOWS\system32\enheaigy.dat
C:\WINDOWS\system32\wfzszook.dat
C:\WINDOWS\system32\eliveiax.dat
C:\WINDOWS\system32\bczhacd.bak
C:\WINDOWS\system32\swsc.exe
C:\WINDOWS\temp\nncmftry.ini
EINDE Inhoud van Input.txt-----------------------------------------------------------

53 C:\WINDOWS\system32\drivers\oreans32.sys
53 C:\WINDOWS\system32\drivers\xogubdno.dat
00 C:\WINDOWS\urgubdhu.txt
0 C:\WINDOWS\system32\dmscriptw.dll
0 C:\WINDOWS\System32\dmconfigb.dll
00 C:\WINDOWS\system32\pmwnchyy.dat
00 C:\WINDOWS\system32\awhcqfuu.dat
00 C:\WINDOWS\system32\enheaigy.dat
00 C:\WINDOWS\system32\wfzszook.dat
00 C:\WINDOWS\system32\eliveiax.dat
00 C:\WINDOWS\system32\bczhacd.bak
00 C:\WINDOWS\system32\swsc.exe
53 C:\WINDOWS\temp\nncmftry.ini

;1255274-645-2982205-23417=3HV14GF600

;EINDE GV_Killer ---------------------------------------------------------------------

HiJackThis:

Zitat

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Tomke\Desktop\Antivirusoperation!\HiJackThis\HJT.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85B50F06-845B-4CD8-B8C9-15F77846BE1E} - c:\windows\system32\dmscriptw.dll
O2 - BHO: (no name) - {D8C54DF6-5982-4EEA-9967-AA227EC4A2EF} - C:\WINDOWS\System32\dmconfigb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Einstellungen (2).lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D5C8B47-72B1-47AB-BABF-CB12C698D4CD}: NameServer = 192.168.0.1
O20 - Winlogon Notify: djxsjqbh - C:\WINDOWS\SYSTEM32\dmscriptw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3391 bytes

DatFind:

Zitat

03.03.2008 20:17 2.206 wpa.dbl
18.02.2008 13:02 86.528 dmscriptw.dll
16.12.2007 18:47 60.366 perfc009.dat
16.12.2007 18:47 397.374 perfh009.dat
16.12.2007 18:47 73.018 perfc007.dat
16.12.2007 18:47 411.168 perfh007.dat
16.12.2007 18:47 953.608 PerfStringBackup.INI


Verzeichnis von C:\DOKUME~1\Tomke\LOKALE~1\Temp

04.03.2008 15:03 98.441 datfind.txt
04.03.2008 14:58 16.384 ~DFB13A.tmp
22.02.2008 20:11 17.494 TWAIN.LOG
22.02.2008 20:10 3 Twain001.Mtx
22.02.2008 20:10 156 Twunk001.MTX
22.02.2008 19:37 0 Twunk002.MTX


Verzeichnis von C:\WINDOWS

04.03.2008 15:00 0 0.log
04.03.2008 15:00 159 wiadebug.log
04.03.2008 15:00 50 wiaservc.log
04.03.2008 15:00 2.048 bootstat.dat
04.03.2008 14:59 199.678 ntbtlog.txt
04.03.2008 14:56 32.630 SchedLgU.Txt
18.02.2008 14:02 227 system.ini
10.02.2008 13:23 4.980 setupapi.log
02.02.2008 17:31 4.224 ULEAD32.INI
29.12.2007 16:32 280 Windows Update.log
16.12.2007 18:39 60 setupact.log
16.12.2007 18:39 0 setuperr.log


Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 11:21 5.021 swflash.inf

#15 hab jetzt keine Zeit ein neues Log zu erstellen. Inzwischen (bis heute abend
scanne mit Avenger, hake beides an:
"Automatically disable any rootkits found"
"Scan for Rootkits"

http://www.virus-protect.org/artikel/tools/avenger.html

und poste den report hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/