Virus/spyware Mal/behav-187

#1 Hallo zusammen,

mein Sophos ANtivirus Programm bringt folgende Meldung:
Typ: Mal/Behav-187
Details: Windows/system32/dfrgre.dll

Eine Bereinigung ist nicht möglich. Auf der Homepage von Sophos wird einem geraten (falls die Bereinigung fehl schlägt) über den abgesicherten Modus mit Hilfe der Datei SAV32CLI zu bereinigen. Dies hat leider auch nicht geklappt.
Könnt Ihr mir vielleicht weiter helfen? Was hab ich mir da eingefangen?

MfG
Isabella

#2 Hi,

bitte mal das hier abarbeiten...
http://board.protecus.de/t23188.htm

- Erstellen eines Hijackthis-Logfiles
http://www.virus-protect.org/hjtkurz.html
http://sicher-ins-netz.info/analyse/hjt.html

- CleanUp (temporaeren Dateien loeschen)
http://www.virus-protect.org/cleanup.html

- Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
http://www.virus-protect.org/datfindbat.html

chris

#3 Hallo

1.
lade bitte die dll hoch - lasse sie prüfen - poste hier den Report (kannst du von hier aus einkopieren)
http://www.virustotal.com/de/

C:\WINDOWS\system32\dfrgre.dll

------------------------------------------------

poste bitte die logs (siehe oben) - dann kann die Reinigung beginnen

ist für mich.....

Zitat

O2 - BHO: (no name) - {1A430C79-1F3D-424F-9319-76D380499814} - C:\WINDOWS\system32\dfrgre.dll

O2 - BHO: (no name) - {AF99E76C-4FAC-43BF-BDFF-D0AC532FEAD8} - C:\WINDOWS\system32\dfrgre.dll

http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan.Win32.Agent.ADH&threatid=172775
http://www.virus-protect.org/counterspy1.html

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#4 Hallo,

ich bin die Schritte jetzt endlich durchgegangen.
Ich poste euch mal die Daten. Ich hoffe Ihr kommt so zu Recht?!


hitjackthis_logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:26:42, on 02.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\G60\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.Plus.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: (no name) - {AA6C09E5-2008-4FE1-90E4-5B39CF9A9C5E} - C:\WINDOWS\system32\dfrgre.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {92A029B7-3491-414B-92C1-51733B8AB307} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {92A029B7-3491-414B-92C1-51733B8AB307} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.Plus.de/
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5658 bytes
ComboFix

ComboFix 08-02.02.5 - G60 2008-02-02 14:20:26.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.636 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\G60\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\myglobalsearch

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 ))))))))))))))))))))))))))))))
.

2008-01-28 20:29 . 2007-11-19 16:08 1,572,864 --a--c--- C:\WINDOWS\system32\dllcache\VEEX.DLL
2008-01-28 20:22 . 2008-01-28 20:23 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-01-28 19:40 . 2005-09-14 09:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-28 19:40 . 2005-09-13 15:11 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-01-28 19:40 . 2005-09-13 15:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-28 19:40 . 2005-09-13 15:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-28 19:40 . 2005-09-15 10:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-28 19:40 . 2005-09-14 09:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-28 19:40 . 2005-09-14 09:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-28 19:40 . 2005-09-13 15:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-28 19:40 . 2005-09-14 08:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-01-28 19:40 . 2005-09-14 08:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2008-01-28 19:40 . 2005-09-14 09:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-20 12:51 . 19,584 C:\WINDOWS\system32\drivers\ufyeoqgb.dat
2008-01-20 12:50 . 2004-08-04 13:00 84,480 --a------ C:\WINDOWS\system32\dfrgre.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 09:04 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2008-01-19 09:50 --------- d-----w C:\Programme\WLAN Quick-Starter
2007-12-02 13:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-02 13:52 --------- d-----w C:\Programme\BoontyGames
2007-12-02 13:48 --------- d-----w C:\Programme\Diablo
2007-11-18 14:42 17,920 ----a-w C:\WINDOWS\system32\sophosboottasks.exe
2006-07-19 09:37 4,096 ----a-w C:\Dokumente und Einstellungen\G60\log.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA6C09E5-2008-4FE1-90E4-5B39CF9A9C5E}]
2004-08-04 13:00 84480 --a------ C:\WINDOWS\system32\dfrgre.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-16 10:30 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 15:16 5562368]
"nwiz"="nwiz.exe" [2005-04-01 15:16 1495040 C:\WINDOWS\system32\nwiz.exe]
"Cmaudio"="cmicnfg.cpl" []
"CHotkey"="zHotkey.exe" [2004-05-17 17:30 543232 C:\WINDOWS\zHotkey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-08 14:53 88203 C:\WINDOWS\AGRSMMSG.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2005-04-07 15:43 127118]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 11:43 1236992]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

R0 ccfyocig;ccfyocig;C:\WINDOWS\system32\drivers\ufyeoqgb.dat []
R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-11-18 15:42]
R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-11-18 15:42]
R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 12:32]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-27 11:51]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 06:33]
S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 19:51]
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2006-11-08 13:27]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
S3 iMSPQMn;iMSPQMn;C:\DOKUME~1\G60\LOKALE~1\Temp\iMSPQMn.sys []
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 09:31]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-02 14:22:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-02 14:23:21



Datfind

Verzeichnis von C:\WINDOWS\system32

02.02.2008 14:13 21.787 nvapps.xml
30.01.2008 11:04 2.206 wpa.dbl
06.01.2008 10:22 375.406 perfh009.dat
06.01.2008 10:22 385.728 perfh007.dat
06.01.2008 10:22 51.204 perfc009.dat
06.01.2008 10:22 61.968 perfc007.dat
06.01.2008 10:22 884.200 PerfStringBackup.INI
18.11.2007 15:42 17.920 sophosboottasks.exe
1920 Datei(en) 370.576.575 Bytes
0 Verzeichnis(se), 41.901.256.704 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: DC8D-A3E9

Verzeichnis von C:\DOKUME~1\G60\LOKALE~1\Temp

02.02.2008 14:27 93.842 datfind.txt
02.02.2008 14:25 114.688 ~DF369.tmp
02.02.2008 14:13 409.600 ~DFA439.tmp
20.01.2008 12:51 4.736 mthjdiin.dat
4 Datei(en) 622.866 Bytes
0 Verzeichnis(se), 41.901.289.472 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: DC8D-A3E9

Verzeichnis von C:\WINDOWS

02.02.2008 14:22 227 system.ini
02.02.2008 14:13 0 0.log
02.02.2008 14:13 159 wiadebug.log
02.02.2008 14:13 4.568 ModemLog_Creatix V.92 Data Fax Modem.txt
02.02.2008 14:13 50 wiaservc.log
02.02.2008 14:12 2.048 bootstat.dat
01.02.2008 22:05 32.618 SchedLgU.Txt
01.02.2008 22:04 1.428.439 WindowsUpdate.log
28.01.2008 20:31 730.815 setupapi.log
28.01.2008 20:18 202 NeroDigital.ini
28.01.2008 19:40 197.204 ntbtlog.txt
02.12.2007 14:59 1.862 setupact.log
02.12.2007 14:59 151 Wininit.ini
24.11.2007 19:15 84 winamp.ini
28.10.2007 19:32 43 VIDEOL~1.INI
25.10.2007 10:44 160.492 wmsetup.log

.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: DC8D-A3E9

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: DC8D-A3E9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

13.09.2005 14:29 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 41.901.285.376 Bytes frei
.


Die C:\WINDOWS\system32\dfrgre.dll kann ich leider nicht überprüfen, da der Server ausgelastet ist. Ich versuche es aber später noch einmal.

mfg

Isabella

#5 Registry Search
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

ccfyocig

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

dfrgre

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6

Zitat

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

ccfyocig

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 02.02.2008 14:46:02 for strings:
; 'ccfyocig'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CCFYOCIG]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CCFYOCIG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CCFYOCIG\0000]
"Service"="ccfyocig"
"DeviceDesc"="ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CCFYOCIG\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CCFYOCIG\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CCFYOCIG\0000\Control]
"ActiveService"="ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccfyocig]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccfyocig]
; Contents of value:
; \ccfyocig
"File"=hex(2):5c,00,63,00,63,00,66,00,79,00,6f,00,63,00,69,00,67,00,00,00
"Name"="\\ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccfyocig\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccfyocig\Enum]
"0"="Root\\LEGACY_CCFYOCIG\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CCFYOCIG]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CCFYOCIG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CCFYOCIG\0000]
"Service"="ccfyocig"
"DeviceDesc"="ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CCFYOCIG\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ccfyocig]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ccfyocig]
; Contents of value:
; \ccfyocig
"File"=hex(2):5c,00,63,00,63,00,66,00,79,00,6f,00,63,00,69,00,67,00,00,00
"Name"="\\ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CCFYOCIG]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CCFYOCIG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CCFYOCIG\0000]
"Service"="ccfyocig"
"DeviceDesc"="ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CCFYOCIG\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CCFYOCIG\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CCFYOCIG\0000\Control]
"ActiveService"="ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccfyocig]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccfyocig]
; Contents of value:
; \ccfyocig
"File"=hex(2):5c,00,63,00,63,00,66,00,79,00,6f,00,63,00,69,00,67,00,00,00
"Name"="\\ccfyocig"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccfyocig\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccfyocig\Enum]
"0"="Root\\LEGACY_CCFYOCIG\\0000"

; End Of The Log...



in: "Enter search strings" (reinschreiben oder reinkopieren)

dfrgre


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 02.02.2008 14:47:25 for strings:
; 'dfrgre'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA6C09E5-2008-4FE1-90E4-5B39CF9A9C5E}\InprocServer32]
@="C:\\WINDOWS\\system32\\dfrgre.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg]
; Contents of value:
; %systemroot%\system32\DfrgRes.dll
"ResourceDllName"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,\
6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
00,44,00,66,00,72,00,67,00,52,00,65,00,73,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns\{43668E21-2636-11D1-A1CE-0080C88593A5}]
"NameStringIndirect"="@dfrgres.dll,-11"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"d"="C:\\WINDOWS\\system32\\dfrgre.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"="C:\\WINDOWS\\system32\\dfrgre.dll"

; End Of The Log...


Kannst du mir schon sagen, was es ist?

MfG
Isabella

#7 isabella19

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccfyocig]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ccfyocig]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccfyocig]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CCFYOCIG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CCFYOCIG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CCFYOCIG]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccfyocig]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA6C09E5-2008-4FE1-90E4-5B39CF9A9C5E}\InprocServer32]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"d"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA6C09E5-2008-4FE1-90E4-5B39CF9A9C5E}]

Driver::
ccfyocig
C:\WINDOWS\system32\drivers\ufyeoqgb.dat

File::
C:\Dokumente und Einstellungen\G60\Lokale Einstellungen\Temp\mthjdiin.dat
C:\WINDOWS\system32\drivers\ufyeoqgb.dat
C:\WINDOWS\system32\dfrgre.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden - tippe 1

+ poste das neue Log von Combofix

+ scanne mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 Hallo Pinguin

Zitat

danach: Combofix noch einmal anwenden - tippe 1

+ poste das neue Log von Combofix

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Dokumente und Einstellungen\G60\Lokale Einstellungen\Temp\mthjdiin.dat
C:\WINDOWS\system32\dfrgre.dll
C:\WINDOWS\system32\drivers\ufyeoqgb.dat
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\G60\Lokale Einstellungen\Temp\mthjdiin.dat
C:\WINDOWS\system32\dfrgre.dll
C:\WINDOWS\system32\drivers\ufyeoqgb.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CCFYOCIG
-------\ccfyocig


((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.

2008-02-02 14:37 . 2008-02-02 14:37 <DIR> d-------- C:\Programme\CleanUp!
2008-01-28 20:29 . 2007-11-19 16:08 1,572,864 --a--c--- C:\WINDOWS\system32\dllcache\VEEX.DLL
2008-01-28 20:22 . 2008-01-28 20:23 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-01-28 19:40 . 2005-09-14 09:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-28 19:40 . 2005-09-13 15:11 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-01-28 19:40 . 2005-09-13 15:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-01-28 19:40 . 2005-09-13 15:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-28 19:40 . 2008-02-03 13:33 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-28 19:40 . 2005-09-14 09:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-28 19:40 . 2005-09-14 09:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-28 19:40 . 2005-09-13 15:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-28 19:40 . 2005-09-14 08:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-01-28 19:40 . 2005-09-14 08:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2008-01-28 19:40 . 2005-09-14 09:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 14:39 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2008-01-19 09:50 --------- d-----w C:\Programme\WLAN Quick-Starter
2006-07-19 09:37 4,096 ----a-w C:\Dokumente und Einstellungen\G60\log.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-16 10:30 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 15:16 5562368]
"nwiz"="nwiz.exe" [2005-04-01 15:16 1495040 C:\WINDOWS\system32\nwiz.exe]
"Cmaudio"="cmicnfg.cpl" []
"CHotkey"="zHotkey.exe" [2004-05-17 17:30 543232 C:\WINDOWS\zHotkey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-08 14:53 88203 C:\WINDOWS\AGRSMMSG.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2005-04-07 15:43 127118]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 11:43 1236992]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-11-18 15:42]
R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-11-18 15:42]
R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 12:32]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-27 11:51]
S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 19:51]
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2006-11-08 13:27]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
S3 iMSPQMn;iMSPQMn;C:\DOKUME~1\G60\LOKALE~1\Temp\iMSPQMn.sys []
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 09:31]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 06:33]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 13:35:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\WINDOWS\system32\msiexec.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-03 13:36:34 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-03 12:36:25
ComboFix2.txt 2008-02-02 13:23:23

Zitat

+ scanne mit Bitdefender + poste den report

BitDefender Online Scanner



Scan report generated at: Sun, Feb 03, 2008 - 14:09:59


C:\QooBox\Quarantine\C\WINDOWS\system32\dfrgre.dll.vir
Suspected of: Trojan.Spy.Bzub.NGP

C:\QooBox\Quarantine\C\WINDOWS\system32\dfrgre.dll.vir
Disinfection failed

C:\QooBox\Quarantine\C\WINDOWS\system32\dfrgre.dll.vir
Deleted

C:\QooBox\Quarantine\catchme2008-02-03_133527.75.zip=>dfrgre.dll
Suspected of: Trojan.Spy.Bzub.NGP

C:\QooBox\Quarantine\catchme2008-02-03_133527.75.zip=>dfrgre.dll
Disinfection failed

C:\QooBox\Quarantine\catchme2008-02-03_133527.75.zip=>dfrgre.dll
Deleted

C:\QooBox\Quarantine\catchme2008-02-03_133527.75.zip
Updated

C:\System Volume Information\_restore{37B64AE0-A16A-4EFA-9D61-D5A9CAC96A8E}\RP5\A0001274.DLL
Detected with: Adware.Toolbar.MyWebSearch.AC

C:\System Volume Information\_restore{37B64AE0-A16A-4EFA-9D61-D5A9CAC96A8E}\RP5\A0001274.DLL
Deleted

C:\System Volume Information\_restore{37B64AE0-A16A-4EFA-9D61-D5A9CAC96A8E}\RP7\A0003632.dll
Suspected of: Trojan.Spy.Bzub.NGP

C:\System Volume Information\_restore{37B64AE0-A16A-4EFA-9D61-D5A9CAC96A8E}\RP7\A0003632.dll
Disinfection failed

C:\System Volume Information\_restore{37B64AE0-A16A-4EFA-9D61-D5A9CAC96A8E}\RP7\A0003632.dll
Deleted


MfG
Isabella

#9 das sieht ja schon viiiiel besser aus

1.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

2.
lade sdfix - im NORMALMODUS anwenden - RunThis.bat doppelt klicken - schreibe 2 - Norman wird geladen - + poste den report
http://virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Hi Pinguin,

schön dass es besser ausschaut. Ich kann damit leider nichts anfangen.

Zitat

lade sdfix - im NORMALMODUS anwenden - RunThis.bat doppelt klicken - schreibe 2 - Norman wird geladen - + poste den report

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL" -> ""

Scan started: 03/02/2008 19:11:40


Scanning running processes and process memory...

Number of processes/threads found: 1943
Number of processes/threads scanned: 1943
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 20s


Scanning file system...

Scanning: C:\*.*

Scanning: D:\*.*

Scanning: E:\*.*


Running post-scan cleanup routine:

Number of files found: 73936
Number of archives unpacked: 6991
Number of files scanned: 73899
Number of files not scanned: 37
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 15m 20s


MfG
Isabella

#11 Hallo

nun.. es ist alles wieder in bester Ordnung
Falls es noch Probleme geben sollte .. melde dich.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 Hi

Vielen vielen Dank für deine Hilfe.
Ich hoffe ich muss mich nciht mehr melden

Schöne Grüße
Isabella