TR/Vundo.Gen kann nicht gelöscht werden

#0
29.01.2008, 20:37
Member

Beiträge: 11
#1 Hallo

ich bin neu hier und habe gleich ein großes Problem! Mein AntiVir zeigt mir ein TR/Vundo.Gen und ich werd ihn nicht los :-(

Hier mein Log file:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F

Verzeichnis von C:\WINDOWS\system32

29.01.2008 19:02 325.386 goc.log
29.01.2008 18:59 165.288 OODBS.lor
28.01.2008 00:51 63.522 perfc009.dat
28.01.2008 00:51 404.302 perfh009.dat
28.01.2008 00:51 419.544 perfh007.dat
28.01.2008 00:51 76.410 perfc007.dat
28.01.2008 00:51 974.848 PerfStringBackup.INI
27.01.2008 23:11 1.142.581 edwcdbry.ini
27.01.2008 11:08 259.048 FNTCACHE.DAT
27.01.2008 00:19 96 bgscfg.1
26.01.2008 16:22 2.206 wpa.dbl
24.01.2008 18:40 1.128.263 pyxfccft.ini
23.01.2008 23:53 1.117.417 ihvyhwlm.ini
21.01.2008 16:02 1.086.083 agqyssyv.ini
20.01.2008 13:21 1.073.352 fgrfwvqu.ini
20.01.2008 13:19 1.073.292 mlgdvaoo.ini
19.01.2008 00:14 1.073.292 dvbbbseu.ini
18.01.2008 23:15 1.073.292 gnxbevxt.ini
17.01.2008 23:03 1.075.702 xybrxsvs.ini
16.01.2008 23:02 1.068.210 ttdsustw.ini
16.01.2008 16:26 1.060.692 qncnkatq.ini
15.01.2008 16:37 18.944 msdfmap.dll
15.01.2008 16:37 81.920 csrcli32.dll
14.01.2008 23:05 1.056.916 ukdjmyiw.ini
12.01.2008 19:14 143 mcrh.tmp
11.01.2008 23:02 1.060.382 prdhtchi.ini
06.01.2008 13:03 1.043.800 otswavun.ini
05.01.2008 18:01 45.056 UTSCSI.EXE
03.01.2008 20:20 1.038.364 icdyjdty.ini
02.01.2008 19:04 1.031.458 rtjpekqi.ini
02.01.2008 18:58 1.031.139 wfistqer.ini
30.12.2007 18:54 1.031.259 utdtpowk.ini
30.12.2007 17:52 1.031.199 vwmyejwk.ini
30.12.2007 17:48 1.031.139 uefveweu.ini
27.12.2007 19:02 1.031.139 qkllltxs.ini
25.12.2007 23:04 1.018.562 afruaakq.ini
24.12.2007 00:06 990.630 hxrasvir.ini
21.12.2007 18:14 40.448 tuvvwwx.dll
12.12.2007 22:06 348 results.txt
03.11.2007 18:21 16.832 amcompat.tlb
03.11.2007 18:21 23.392 nscompat.tlb
12.05.2007 11:24 5.632 pndx5032.dll
12.05.2007 11:24 6.656 pndx5016.dll
08.05.2007 20:37 497 FeAnim.ini
08.05.2007 20:37 571 FeMakro.ini
01.01.2007 19:07 9.103 jupdate-1.5.0_10-b03.log

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F

Verzeichnis von C:\WINDOWS

29.01.2008 19:02 159 wiadebug.log
29.01.2008 19:02 1.744.299 WindowsUpdate.log
29.01.2008 19:02 50 wiaservc.log
29.01.2008 18:59 0 0.log
29.01.2008 18:59 2.048 bootstat.dat
28.01.2008 23:07 32.058 SchedLgU.Txt
28.01.2008 21:41 198.444 ntbtlog.txt
28.01.2008 18:16 227 system.ini
28.01.2008 18:16 558 win.ini
27.01.2008 23:52 288 wininit.ini
27.01.2008 23:11 371 cookies.ini
23.01.2008 00:16 2.044 ModemLog_Lucent Technologies Soft Modem AMR #2.txt
20.01.2008 21:32 143 Downloader.INI
17.01.2008 23:42 2.238 SecFloader.icon
16.01.2008 17:40 1.412.841 setupapi.log
15.01.2008 16:37 1.409 QTFont.for
15.01.2008 16:37 54.156 QTFont.qfn
02.01.2008 16:43 32 CD_Start.INI
04.12.2007 23:37 1.210 mozver.dat
19.11.2007 20:40 2.560 _MSRSTRT.EXE
10.10.2007 23:12 0 nsreg.dat
07.10.2007 20:16 158.987 setupact.log
02.10.2007 15:49 483 ODBC.INI
19.09.2007 21:00 2.716 wmsetup.log
03.09.2007 22:19 98 abreg.ini
20.04.2007 19:27 63 vbaddin.ini
14.03.2007 00:34 666 KB829558.log

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 580B-075F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.12.2007 23:54 23.600 tvichw32.sys
06.09.2007 11:28 452.056 driveragent.ocx
06.09.2007 11:28 238 driveragent.inf
02.06.2006 22:35 65 desktop.ini
13.04.2004 11:04 307.200 isusweb.dll
30.06.2003 22:41 1.689 WMV9VCM.inf
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
8 Datei(en) 1.006.032 Bytes
0 Verzeichnis(se), 3.968.630.784 Bytes frei


Ich hoffe mir kann jemand helfen!!!

Gruß
Seitenanfang Seitenende
29.01.2008, 20:59
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Snewi

1.
suche diese ini - mit Rechtklick + mit dem Texteditor öffnen - poste hier, was erscheint

C:\WINDOWS\wininit.ini
C:\WINDOWS\system.ini
C:\WINDOWS\win.ini
-------------------------------------------------------------

2.
Avenger
http://www.virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\pyxfccft.ini
C:\WINDOWS\system32\ihvyhwlm.ini
C:\WINDOWS\system32\agqyssyv.ini
C:\WINDOWS\system32\fgrfwvqu.ini
C:\WINDOWS\system32\mlgdvaoo.ini
C:\WINDOWS\system32\dvbbbseu.ini
C:\WINDOWS\system32\gnxbevxt.ini
C:\WINDOWS\system32\xybrxsvs.ini
C:\WINDOWS\system32\ttdsustw.ini
C:\WINDOWS\system32\qncnkatq.ini
C:\WINDOWS\system32\msdfmap.dll
C:\WINDOWS\system32\csrcli32.dll
C:\WINDOWS\system32\ukdjmyiw.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\prdhtchi.ini
C:\WINDOWS\system32\otswavun.ini
C:\WINDOWS\system32\icdyjdty.ini
C:\WINDOWS\system32\rtjpekqi.ini
C:\WINDOWS\system32\wfistqer.ini
C:\WINDOWS\system32\utdtpowk.ini
C:\WINDOWS\system32\vwmyejwk.ini
C:\WINDOWS\system32\uefveweu.ini
C:\WINDOWS\system32\qkllltxs.ini
C:\WINDOWS\system32\afruaakq.ini
C:\WINDOWS\system32\hxrasvir.ini
C:\WINDOWS\system32\tuvvwwx.dll
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

poste das Log vom Avenger, was nach Neustart erscheint

3.
poste hier das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 21:45
Member

Themenstarter

Beiträge: 11
#3 Hallo

zu 1: wininit.ini

[rename]
c:\tempjunk2430.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted
nul=c:\tempjunk7200.tmp
c:\tempjunk143.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted
c:\tempjunk8003.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted
c:\tempjunk7200.tmp=C:\WINDOWS\system32\byxwt.dll_tobedeleted

zu 1: system.ini

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

zu 1: win.ini

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wvx=MPEGVideo

zu 2: avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rsxjskow

*******************

Script file located at: \??\C:\WINDOWS\nwltqlcn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\pyxfccft.ini deleted successfully.
File C:\WINDOWS\system32\ihvyhwlm.ini deleted successfully.
File C:\WINDOWS\system32\agqyssyv.ini deleted successfully.
File C:\WINDOWS\system32\fgrfwvqu.ini deleted successfully.
File C:\WINDOWS\system32\mlgdvaoo.ini deleted successfully.
File C:\WINDOWS\system32\dvbbbseu.ini deleted successfully.
File C:\WINDOWS\system32\gnxbevxt.ini deleted successfully.
File C:\WINDOWS\system32\xybrxsvs.ini deleted successfully.
File C:\WINDOWS\system32\ttdsustw.ini deleted successfully.
File C:\WINDOWS\system32\qncnkatq.ini deleted successfully.
File C:\WINDOWS\system32\msdfmap.dll deleted successfully.


File C:\WINDOWS\system32\csrcli32.dll not found!
Deletion of file C:\WINDOWS\system32\csrcli32.dll failed!

Could not process line:
C:\WINDOWS\system32\csrcli32.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ukdjmyiw.ini deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\prdhtchi.ini deleted successfully.
File C:\WINDOWS\system32\otswavun.ini deleted successfully.
File C:\WINDOWS\system32\icdyjdty.ini deleted successfully.
File C:\WINDOWS\system32\rtjpekqi.ini deleted successfully.
File C:\WINDOWS\system32\wfistqer.ini deleted successfully.
File C:\WINDOWS\system32\utdtpowk.ini deleted successfully.
File C:\WINDOWS\system32\vwmyejwk.ini deleted successfully.
File C:\WINDOWS\system32\uefveweu.ini deleted successfully.
File C:\WINDOWS\system32\qkllltxs.ini deleted successfully.
File C:\WINDOWS\system32\afruaakq.ini deleted successfully.
File C:\WINDOWS\system32\hxrasvir.ini deleted successfully.
File C:\WINDOWS\system32\tuvvwwx.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

zu 3: combofix
ComboFix 08-01-29.3 - Andreas 2008-01-29 21:35:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.717 [GMT 1:00]
ausgeführt von:: Z:\Security\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\edwcdbry.ini
C:\WINDOWS\system32\FTPx.dll
C:\WINDOWS\system32\MabryObj.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-29 20:18 . 2008-01-29 20:20 2,578 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\restore
2008-01-28 00:50 . 2008-01-28 01:30 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-27 23:53 . 2008-01-28 00:30 <DIR> d-------- C:\VundoFix Backups
2008-01-24 20:17 . 2008-01-27 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BOM
2008-01-24 20:16 . 1998-07-06 00:00 22,528 --a------ C:\WINDOWS\system32\Tabctde.dll
2008-01-24 20:16 . 2000-04-03 20:06 16,896 --a------ C:\WINDOWS\system32\winskde.dll
2008-01-24 20:16 . 2003-01-07 03:22 15,873 --a------ C:\WINDOWS\system32\Inetde.dll
2008-01-24 19:08 . 2008-01-27 23:52 288 --a------ C:\WINDOWS\wininit.ini
2008-01-20 14:07 . 2008-01-20 21:32 143 --a------ C:\WINDOWS\Downloader.INI
2008-01-15 16:37 . 2008-01-15 16:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-15 16:37 . 2008-01-15 16:37 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-05 18:02 . 2008-01-17 23:42 2,238 --a------ C:\WINDOWS\SecFloader.icon
2008-01-05 18:01 . 2008-01-05 18:01 45,056 --a------ C:\WINDOWS\system32\UTSCSI.EXE
2008-01-05 14:47 . 2008-01-05 14:48 <DIR> d-------- C:\xampp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-28 00:30 --------- d-----w D:\\Spyware Doctor
2008-01-27 23:48 --------- d-----w D:\\AntiVir PersonalEdition Classic
2008-01-27 10:10 --------- d-----w D:\Gemeinsame Dateien\Adobe
2008-01-27 10:08 --------- d-sh--w D:\\Config.Msi
2008-01-26 23:23 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\pdfMachine
2008-01-26 17:59 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\AdobeUM
2008-01-24 19:16 --------- d-----w D:\\Biet-O-Matic
2008-01-24 17:28 --------- d-----w D:\\Spybot - Search & Destroy
2008-01-18 23:20 --------- d--h--w D:\\InstallShield Installation Information
2008-01-16 23:50 --------- d-----w D:\\FlashFXP
2008-01-04 20:52 --------- d-----w D:\\Mozilla Firefox
2007-12-12 23:32 --------- d-----w D:\\NETGEAR
2007-12-05 22:54 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-12-05 22:11 --------- d-----w D:\\Lavalys
2007-11-29 23:38 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Yiola
2007-11-29 22:54 --------- d-----w D:\\Yiola
2007-11-29 22:03 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FlashFXP
2007-03-13 23:44 15 ----a-w D:\\mandant.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EF2231-D4B7-489F-8263-C87AF47FF3F1}]
C:\WINDOWS\system32\ursrr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{55c8a7be-38b7-4801-a0d2-77ef2368752e}]
C:\WINDOWS\system32\jwbdtcty.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69400B83-2A43-4F02-B215-26F14833F017}]
C:\WINDOWS\system32\byxwt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="D:\TTPack\ReaLite\Update_OB\realsched.exe" [2007-05-12 11:24 151597]
"SunJavaUpdateSched"="D:\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263]
"PS121v2"="D:\NETGEAR\PS121v2\PS121v2.exe" [2006-08-25 15:47 724992]
"ooccctrl.exe"="D:\OO Software\CleverCache\ooccctrl.exe" [2005-11-09 01:08 722944]
"LTSMMSG"="LTSMMSG.exe" [2006-05-30 09:29 45056 C:\WINDOWS\LTSMMSG.exe]
"IntelliPoint"="D:\Microsoft IntelliPoint\ipoint.exe" [2006-07-08 00:15 600896]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="D:\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-28 00:48 249896]
"AtiPTA"="atiptaxx.exe" [2002-03-12 18:30 286720 C:\WINDOWS\system32\atiptaxx.exe]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"Apoint"="D:\Apoint2K\Apoint.exe" [2001-08-09 17:21 118784]
"Acronis Scheduler2 Service"="D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-16 16:05 118784]
"WN511T.exe"="D:\NETGEAR\WN511T\WN511T.exe" [2007-06-13 13:46 557056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Fonts"="C:\WINDOWS\explorer.exe" [2006-01-22 05:39 1035264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvwwx]
tuvvwwx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bgsmsnd.exe]
--a------ 2004-12-31 10:06 106496 C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KCReminder]

R1 SSHDRV75;SSHDRV75;C:\WINDOWS\system32\drivers\SSHDRV75.sys [2007-04-12 18:55]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2005-11-22 01:00]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2005-11-22 01:00]
R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2005-11-22 01:00]
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2006-05-30 09:29]
R3 NETGEARUHOST;NETGEAR Network USB Host Controller;C:\WINDOWS\system32\DRIVERS\NETGEARUHOST.sys [2006-08-17 15:04]
R3 NETGEARUHUB;NETGEAR Network USB Root Hub;C:\WINDOWS\system32\DRIVERS\NETGEARUHUB.sys [2006-08-17 15:04]
R3 NETMW145;NETGEAR WN511T;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-10-04 18:34]
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-11-22 01:00]
S3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\system32\AWINDIS5.SYS [2002-04-11 17:43]
S3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys [2005-11-22 01:00]
S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINDOWS\system32\drivers\bfhu_bus.sys [2005-11-22 01:00]
S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2005-11-22 01:00]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2005-11-22 01:00]
S3 NETGEARUCOMP;NETGEAR Network USB Composite Device;C:\WINDOWS\system32\DRIVERS\NETGEARUCOMP.sys [2006-08-17 15:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\FingerVerify.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bca55080-bbaf-11dc-bb2b-00e000aefff0}]
\Shell\AutoRun\command - I:\FingerVerify.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3796470-d1a7-11db-b9f2-00e000aefff0}]
\Shell\AutoRun\command - I:\SETUP.EXE /AUTORUN
\Shell\configure\command - I:\SETUP.EXE
\Shell\install\command - I:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 20:40:00 C:\WINDOWS\Tasks\User_Feed_Synchronization-{0B76A8F6-1E87-4428-B9E2-0F8D1E6D52EF}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 21:41:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\TTPack\ReaLite\Update_OB\realsched.exe
D:\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\LTSMMSG.exe
D:\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\rundll32.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\atiptaxx.exe
D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\NETGEAR\WN511T\WN511T.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
D:\TTPack\ReaLite\Update_OB\rnathchk.exe
D:\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\oodag.exe
D:\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\system32\UTSCSI.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 21:42:58 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-29 20:42:45

Danke und Gruß
Seitenanfang Seitenende
29.01.2008, 22:02
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Snewi

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvwwx]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{55c8a7be-38b7-4801-a0d2-77ef2368752e}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69400B83-2A43-4F02-B215-26F14833F017}]

File::
C:\WINDOWS\wininit.ini
c:\tempjunk143.tmp
c:\tempjunk7200.tmp
c:\tempjunk2430.tmp
c:\tempjunk8003.tmp
C:\WINDOWS\system32\byxwt.dll_tobedeleted
C:\WINDOWS\system32\jwbdtcty.dll
C:\WINDOWS\system32\byxwt.dll
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



dann das Symbol von Combofix noch mal anwenden - schreibe 1 - poste dann den neuen Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 22:27
Member

Themenstarter

Beiträge: 11
#5 HAllo

hier das neue File:

ComboFix 08-01-29.3 - Andreas 2008-01-29 22:18:03.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.711 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Andreas\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
c:\tempjunk143.tmp
c:\tempjunk2430.tmp
c:\tempjunk7200.tmp
c:\tempjunk8003.tmp
C:\WINDOWS\system32\byxwt.dll
C:\WINDOWS\system32\byxwt.dll_tobedeleted
C:\WINDOWS\system32\jwbdtcty.dll
C:\WINDOWS\wininit.ini
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\wininit.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-29 20:18 . 2008-01-29 20:20 2,578 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-01-28 01:21 . 2008-01-28 01:21 <DIR> d-------- C:\WINDOWS\system32\restore
2008-01-28 00:50 . 2008-01-28 01:30 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-27 23:53 . 2008-01-28 00:30 <DIR> d-------- C:\VundoFix Backups
2008-01-24 20:17 . 2008-01-27 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\BOM
2008-01-24 20:16 . 1998-07-06 00:00 22,528 --a------ C:\WINDOWS\system32\Tabctde.dll
2008-01-24 20:16 . 2000-04-03 20:06 16,896 --a------ C:\WINDOWS\system32\winskde.dll
2008-01-24 20:16 . 2003-01-07 03:22 15,873 --a------ C:\WINDOWS\system32\Inetde.dll
2008-01-20 14:07 . 2008-01-20 21:32 143 --a------ C:\WINDOWS\Downloader.INI
2008-01-15 16:37 . 2008-01-15 16:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-15 16:37 . 2008-01-15 16:37 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-05 18:02 . 2008-01-17 23:42 2,238 --a------ C:\WINDOWS\SecFloader.icon
2008-01-05 18:01 . 2008-01-05 18:01 45,056 --a------ C:\WINDOWS\system32\UTSCSI.EXE
2008-01-05 14:47 . 2008-01-05 14:48 <DIR> d-------- C:\xampp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-28 00:30 --------- d-----w D:\\Spyware Doctor
2008-01-27 23:48 --------- d-----w D:\\AntiVir PersonalEdition Classic
2008-01-27 10:10 --------- d-----w D:\Gemeinsame Dateien\Adobe
2008-01-27 10:08 --------- d-sh--w D:\\Config.Msi
2008-01-26 23:23 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\pdfMachine
2008-01-26 17:59 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\AdobeUM
2008-01-24 19:16 --------- d-----w D:\\Biet-O-Matic
2008-01-24 17:28 --------- d-----w D:\\Spybot - Search & Destroy
2008-01-18 23:20 --------- d--h--w D:\\InstallShield Installation Information
2008-01-16 23:50 --------- d-----w D:\\FlashFXP
2008-01-04 20:52 --------- d-----w D:\\Mozilla Firefox
2007-12-12 23:32 --------- d-----w D:\\NETGEAR
2007-12-05 22:54 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-12-05 22:11 --------- d-----w D:\\Lavalys
2007-11-29 23:38 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Yiola
2007-11-29 22:54 --------- d-----w D:\\Yiola
2007-11-29 22:03 --------- d-----w C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\FlashFXP
2007-03-13 23:44 15 ----a-w D:\\mandant.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EF2231-D4B7-489F-8263-C87AF47FF3F1}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="D:\TTPack\ReaLite\Update_OB\realsched.exe" [2007-05-12 11:24 151597]
"SunJavaUpdateSched"="D:\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263]
"PS121v2"="D:\NETGEAR\PS121v2\PS121v2.exe" [2006-08-25 15:47 724992]
"ooccctrl.exe"="D:\OO Software\CleverCache\ooccctrl.exe" [2005-11-09 01:08 722944]
"LTSMMSG"="LTSMMSG.exe" [2006-05-30 09:29 45056 C:\WINDOWS\LTSMMSG.exe]
"IntelliPoint"="D:\Microsoft IntelliPoint\ipoint.exe" [2006-07-08 00:15 600896]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="D:\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-28 00:48 249896]
"AtiPTA"="atiptaxx.exe" [2002-03-12 18:30 286720 C:\WINDOWS\system32\atiptaxx.exe]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"Apoint"="D:\Apoint2K\Apoint.exe" [2001-08-09 17:21 118784]
"Acronis Scheduler2 Service"="D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-16 16:05 118784]
"WN511T.exe"="D:\NETGEAR\WN511T\WN511T.exe" [2007-06-13 13:46 557056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Fonts"="C:\WINDOWS\explorer.exe" [2006-01-22 05:39 1035264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bgsmsnd.exe]
--a------ 2004-12-31 10:06 106496 C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KCReminder]

R1 SSHDRV75;SSHDRV75;C:\WINDOWS\system32\drivers\SSHDRV75.sys [2007-04-12 18:55]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2005-11-22 01:00]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2005-11-22 01:00]
R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2005-11-22 01:00]
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2006-05-30 09:29]
R3 NETGEARUHOST;NETGEAR Network USB Host Controller;C:\WINDOWS\system32\DRIVERS\NETGEARUHOST.sys [2006-08-17 15:04]
R3 NETGEARUHUB;NETGEAR Network USB Root Hub;C:\WINDOWS\system32\DRIVERS\NETGEARUHUB.sys [2006-08-17 15:04]
R3 NETMW145;NETGEAR WN511T;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-10-04 18:34]
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-11-22 01:00]
S3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\system32\AWINDIS5.SYS [2002-04-11 17:43]
S3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys [2005-11-22 01:00]
S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINDOWS\system32\drivers\bfhu_bus.sys [2005-11-22 01:00]
S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2005-11-22 01:00]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2005-11-22 01:00]
S3 NETGEARUCOMP;NETGEAR Network USB Composite Device;C:\WINDOWS\system32\DRIVERS\NETGEARUCOMP.sys [2006-08-17 15:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\FingerVerify.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bca55080-bbaf-11dc-bb2b-00e000aefff0}]
\Shell\AutoRun\command - I:\FingerVerify.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3796470-d1a7-11db-b9f2-00e000aefff0}]
\Shell\AutoRun\command - I:\SETUP.EXE /AUTORUN
\Shell\configure\command - I:\SETUP.EXE
\Shell\install\command - I:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 21:15:00 C:\WINDOWS\Tasks\User_Feed_Synchronization-{0B76A8F6-1E87-4428-B9E2-0F8D1E6D52EF}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 22:24:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\TTPack\ReaLite\Update_OB\realsched.exe
D:\Java\jre1.5.0_10\bin\jusched.exe
D:\TTPack\ReaLite\Update_OB\rnathchk.exe
C:\WINDOWS\LTSMMSG.exe
D:\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\rundll32.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\atiptaxx.exe
D:\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\NETGEAR\WN511T\WN511T.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
D:\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\oodag.exe
D:\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\system32\UTSCSI.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 22:25:17 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-29 21:25:03
ComboFix2.txt 2008-01-29 20:42:58

Eine Frage hab ich da noch gibt es ein gutes Tool das sowas beim nächsten mal vermeidet oder einen guten Cleaner den man täglich anwenden sollte?

Gruß und Danke schon mal für deine super schnellen Antworten :-)
Seitenanfang Seitenende
29.01.2008, 22:31
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 ««
den Vundo vermeidet man..indem man bestimmte Seiten meidet ;)

««
erstelle eine neue cfscript.txt
wende sie wie gehabt an...

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EF2231-D4B7-489F-8263-C87AF47FF3F1}]
««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
scanne mit bitdefender
+ poste den report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 23:29
Member

Themenstarter

Beiträge: 11
#7 Hallo

hier die Datei vom Bitdefender!


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438bd.qua
Infected with: Trojan.Vundo.DVO

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438bd.qua
Disinfection failed

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438bd.qua
Deleted

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438c2.qua
Infected with: Trojan.Vundo.DVO

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438c2.qua
Disinfection failed

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481438c2.qua
Deleted

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481576cd.qua
Infected with: Trojan.Vundo.DVO

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481576cd.qua
Disinfection failed

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\481576cd.qua
Deleted


Kannst du denn nun ein Tool empfehlen damit sowas nicht noch einmal passiert?
Gruß

««

Verzeichnis von C:\WINNT\system32

29.01.2008 16:41 16.384 Perflib_Perfdata_598.dat
27.01.2008 14:43 16.384 Perflib_Perfdata_5b0.dat
03.12.2007 08:28 45.056 UTSCSI.EXE
06.11.2007 00:01 16.384 Perflib_Perfdata_540.dat
26.10.2007 10:37 34.308 BASSMOD.dll
26.10.2007 10:33 3.309.808 FNTCACHE.DAT
15.10.2007 23:09 16.384 Perflib_Perfdata_550.dat
17.09.2007 23:01 16.384 Perflib_Perfdata_54c.dat
23.08.2007 06:44 1.493 RMErrorLog0.txt
01.08.2007 12:00 16.384 Perflib_Perfdata_4f0.dat
30.07.2007 12:00 16.384 Perflib_Perfdata_504.dat
16.04.2007 21:43 203.096 wuweb.dll
01.04.2007 13:34 86.016 ElbyCDIO.dll
05.03.2007 13:21 10.162 pqtss.ini
05.03.2007 12:34 676.224 OGACheckControl.DLL
19.01.2007 08:29 2.299 DWRCS.INI
15.01.2007 11:01 9.026.540 DX.CAB
15.01.2007 10:59 10.479.538 RUNTIMES.CAB
09.01.2007 14:20 303.892 perfh009.dat
09.01.2007 14:20 293.266 perfh007.dat
09.01.2007 14:20 47.860 perfc007.dat
09.01.2007 14:20 39.490 perfc009.dat
09.01.2007 14:20 689.640 PerfStringBackup.INI
12.12.2006 13:15 471.552 Smab.dll
12.12.2006 10:45 1.474.864 LegitCheckControl.DLL
01.12.2006 04:20 212.480 swxcacls.exe
30.11.2006 09:43 98.304 dfrg.msc
27.11.2006 01:34 49.152 vfind.exe
22.11.2006 10:09 86.359.302 data1.cab
12.11.2006 12:44 306.688 avisynth.dll

Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: C9A8-B579

Verzeichnis von C:\DOKUME~1\.......\LOKALE~1\Temp

30.01.2008 08:19 100.976 datfind.txt
30.01.2008 08:19 0 h2r77.tmp
30.01.2008 08:19 2.181 ~WRD0000.doc
30.01.2008 07:57 512 ~DF76FE.tmp
29.01.2008 15:38 668.448 ~WRS0000.tmp
29.01.2008 15:17 8.533 ~WRD0001.doc
29.01.2008 13:20 32.768 ~WRF1193.tmp
29.01.2008 11:19 0 h2r54.tmp
28.01.2008 16:12 2.270.372 ~WRS0003.tmp
28.01.2008 14:49 7.349 ~WRD0005.doc
28.01.2008 13:59 0 h2r26.tmp
28.01.2008 08:27 32.768 ~DFEB5.tmp
28.01.2008 08:27 512 ~DFEAC.tmp
28.01.2008 08:26 49.152 ~DFA76A.tmp
28.01.2008 08:26 16.384 ~DFA762.tmp
28.01.2008 08:13 147.456 ~DFA4FD.tmp
28.01.2008 08:13 512 ~DFA530.tmp
28.01.2008 08:13 16.384 ~DFA52B.tmp
28.01.2008 08:13 16.384 ~DF93BD.tmp
28.01.2008 08:13 16.384 E2.tmp
28.01.2008 08:13 32.768 ~DF9093.tmp
28.01.2008 08:13 32.768 ~DF8D32.tmp
28.01.2008 08:13 32.768 ~DF8443.tmp
25.01.2008 13:06 1.491.896 ~WRS0001.tmp
25.01.2008 13:00 71.573 ~WRD0247.doc
25.01.2008 11:10 16.384 ~WRF2259.tmp
25.01.2008 09:51 0 s2mc
24.01.2008 15:31 0 h2r6F.tmp
23.01.2008 11:35 28 ExchangePerflog_8484fa317e1c1f03cfcccd43.dat
29 Datei(en) 5.065.260 Bytes
0 Verzeichnis(se), 12.384.649.216 Bytes frei

Datentr„ger in Laufwerk C: ist Windows
Datentr„gernummer: C9A8-B579

Verzeichnis von C:\WINNT

30.01.2008 07:58 221 hpbafd.ini
23.01.2008 10:55 32.556 SchedLgU.Txt
23.01.2008 10:54 1.200.722 ShellIconCache
22.01.2008 11:31 799.711 setupapi.log
17.01.2008 13:23 2.238 SecFloader.icon
16.01.2008 10:04 178 homeDVD-Fotos5_5_dlx.INI
16.01.2008 09:32 116 NeroDigital.ini
15.01.2008 13:34 662 win.ini
11.01.2008 10:59 605 wincmd.ini
11.01.2008 10:59 773 wcx_ftp.ini
03.01.2008 13:47 22.176 Windows Update.log
10.12.2007 11:02 238 IE4 Error Log.txt
21.11.2007 12:41 0 nsreg.dat
26.10.2007 09:49 209 xlcrack.INI
09.10.2007 09:01 2.030 ODBC.INI
21.09.2007 09:19 32 CD_Start.INI
23.08.2007 08:51 6.338 WindowsUpdate.log
23.08.2007 06:44 38 InvAginst.log
02.08.2007 10:44 26 Lic.xxx
31.07.2007 14:30 227 system.ini
08.06.2007 09:32 75 winDecrypt.INI
08.06.2007 09:22 168 ConverterCore.INI
29.05.2007 07:22 33.112 ntbtlog.txt
24.05.2007 12:54 0 sapneu
24.05.2007 11:28 0 [INI]
23.05.2007 15:14 76 sapmsg.ini
23.05.2007 15:14 2.205 saplogon.ini
23.05.2007 15:14 129 saproute.ini
23.05.2007 08:39 135 FBDirect.INI
22.05.2007 18:37 87.040 catchme.exe
07.05.2007 11:15 11.733 Active Setup Log.txt
02.05.2007 09:31 4.147 Active Setup Log.BAK
09.01.2007 14:20 84.464 comsetup.log
09.01.2007 14:20 198.509 iis5.log
09.01.2007 14:20 4.535 imsins.log
09.01.2007 14:20 4.999 ockodak.log
09.01.2007 14:20 87.237 ocgen.log
09.01.2007 13:50 1.942 imsins.BAK
19.12.2006 07:44 48 t
19.12.2006 07:44 56 7
22.09.2006 14:14 0 V
22.09.2006 14:12 0 g
24.07.2006 00:38 49.152 nircmd.exe
04.07.2006 10:43 8.997 dasetup.log
04.07.2006 10:42 249.856 Setup1.exe
04.07.2006 10:42 73.216 ST6UNST.EXE
04.07.2006 07:23 62 chipset.log
29.05.2006 07:14 3.775 diagwrn.xml
29.05.2006 07:14 1.905 diagerr.xml
29.05.2006 07:14 5.653 setuplog.xml
29.05.2006 07:14 681 setupact.log
29.05.2006 07:14 0 setuperr.log
18.05.2006 07:08 2.670 Sti_Trace.log
11.05.2006 17:32 502.784 x2.64.exe
Seitenanfang Seitenende
30.01.2008, 08:32
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Hallo Snewi

das ist ein anderer PC ????

1.
wende CCl an
http://www.virus-protect.org/ccleaner.html

2.
erstelle eine cfscript.txt und ziehe sie auf Combofix (wie oben handhaben)

Zitat

File::
C:\WINNT\system32\pqtss.ini

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.01.2008, 09:06
Member

Themenstarter

Beiträge: 11
#9 Hallo

jau das ist ein anderer!!
Der von gestern läuft wieder super .-)

das aktuelle Log:

ComboFix 08-01-30.5 - schoenea 30.01.2008 8:51:24.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.310 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\schoenea\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\schoenea\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\WINNT\system32\pqtss.ini
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\regedit.com
C:\WINNT\system32\pqtss.ini
C:\WINNT\system32\taskmgr.com
C:\WINNT\t\
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 ))))))))))))))))))))))))))))))
.

2008-01-24 09:33 . 08-01-24 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\BOM
2007-12-27 10:37 . 07-12-27 10:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Magix Shared
2007-12-27 08:27 . 08-01-16 10:04 178 --a------ C:\WINNT\homeDVD-Fotos5_5_dlx.INI
2007-12-27 08:23 . 07-12-27 08:23 <DIR> d-------- C:\WINNT\system32\MAGIX
2007-12-27 08:23 . 06-02-06 11:38 475,136 --a------ C:\WINNT\system32\mgxoschk.dll
2007-12-27 08:23 . 06-02-06 12:12 3,237 --a------ C:\WINNT\mgxoschk.ini
2007-12-20 14:57 . 07-12-20 14:58 <DIR> d-------- C:\xampp
2007-12-03 08:29 . 08-01-17 13:23 2,238 --a------ C:\WINNT\SecFloader.icon
2007-12-03 08:28 . 07-12-03 08:28 45,056 --a------ C:\WINNT\system32\UTSCSI.EXE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 07:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vulScan
2008-01-29 10:11 --------- d-----w C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\SolidDocuments
2008-01-23 10:06 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2005-08-11 09:25 271 ---h--w C:\Programme\desktop.ini
2005-08-11 09:25 22,080 ---h--w C:\Programme\folder.htt
2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="ctfmon.exe" [01-02-20 12:09 8192 C:\WINNT\system32\CTFMON.EXE]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-20 13:00 112400 C:\WINNT\system32\mobsync.exe]
"IgfxTray"="C:\WINNT\system32\igfxtray.exe" [05-04-05 20:22 94208]
"HotKeysCmds"="C:\WINNT\system32\hkcmd.exe" [05-04-05 20:19 77824]
"Persistence"="C:\WINNT\system32\igfxpers.exe" [05-04-05 20:23 114688]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [04-10-14 13:42 1404928]
"ZENRC Tray Icon"="C:\WINNT\system32\zentray.exe" [05-05-18 16:04 40960]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [03-06-20 13:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-20 13:00 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{763370C4-268E-4308-A60C-D8DA0342BE32}"= C:\Programme\Novell\ZENworks\NalShell.dll [06-06-28 13:00 446464]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"="ziswin.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccdcca]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NetIdentity Notification]
C:\WINNT\system32\Novell\XtNotify.dll 06-05-02 08:17 24576 C:\WINNT\system32\Novell\xtnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 05-05-20 11:51 8704 C:\WINNT\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrqroo]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwjk32]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winykm32]
winykm32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EVENTLISTENER]
C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 04-04-17 12:41 196608 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syswin]
C:\WINNT\system32\v6.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VaCtrls]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{C9A8B579-0BB0-1031-0524-050311200031}]
C:\Programme\Gemeinsame Dateien\{C9A8B579-0BB0-1031-0524-050311200031}\Update.exe

R1 Dlc;DLC-Protokoll;C:\WINNT\system32\DRIVERS\dlc.sys [03-06-20 13:00 ]
R2 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" [07-09-20 23:29 ]
R2 BlankScr;HBDevice;C:\WINNT\system32\drivers\BlankScr.sys [05-05-23 13:47 ]
R2 CBA8;LANDesk(R) Management Agent;"C:\Programme\LANDesk\Shared Files\residentagent.exe" [05-11-22 14:07 ]
R2 Remote Management Agent;Novell ZENworks-Fernverwaltungsagent;C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe [06-05-09 09:59 ]
R2 Softmon;LANDesk(R) Software Monitoring Service;"C:\Programme\LANDesk\LDClient\softmon.exe" [05-12-09 02:59 ]
R2 TSCensus Collection Client;ZENworks Asset Management - Collection Client;"C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe" [06-05-22 09:27 ]
R2 WNTHW;WNTHW;C:\WINNT\system32\DRIVERS\WNTHW.SYS [01-03-20 09:55 ]
R2 XTAgent;Novell XTier Agent Services;C:\WINNT\System32\Novell\XTAgent.exe [06-05-02 08:17 ]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINNT\system32\DRIVERS\avmbtpar.sys [04-08-23 01:00 ]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINNT\system32\DRIVERS\avmbtser.sys [04-08-23 01:00 ]
R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINNT\system32\drivers\avmbtsnd.sys [04-08-23 01:00 ]
R3 Darpan;Darpan;C:\WINNT\system32\DRIVERS\Darpan.sys [05-05-23 13:11 ]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 11:05 ]
S2 XAMPP;XAMPP Service;D:\Programme\xampp\service.exe []
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmcowan.sys [04-08-23 01:00 ]
S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINNT\system32\DRIVERS\bfhubase.sys [04-08-23 01:00 ]
S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINNT\system32\DRIVERS\capi_cip.sys [04-08-23 01:00 ]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINNT\system32\DRIVERS\netbfpan.sys [04-08-23 01:00 ]
S3 OracleDEFAULT_HOMEClientCache80;OracleDEFAULT_HOMEClientCache80;D:\orant\BIN\ONRSD80.EXE [04-02-27 15:51 ]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;D:\oracle\ora81\BIN\ONRSD.EXE [00-10-19 10:55 ]
S3 pmxscan;USB Flatbed Scanner Driver;C:\WINNT\system32\DRIVERS\usbscan.sys [99-10-13 14:19 ]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 09:04:25
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINNT\system32\winlogon.exe
-> C:\WINNT\system32\xmlparse.dll

PROCESS: C:\WINNT\Explorer.EXE [5.00.3700.6690]
-> C:\Programme\Novell\ZENworks\NLS\deutsch\NalUIRes.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINNT\System32\Novell\XTAgent.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\xampp\apache\bin\apache.exe
D:\Programme\PCAnywhere 11.5\awhost32.exe
C:\Programme\LANDesk\Shared Files\residentagent.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\hidserv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\LANDesk\LDClient\LocalSch.EXE
C:\WINNT\system32\CBA\pds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINNT\system32\regsvc.exe
D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\Programme\LANDesk\LDClient\softmon.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe
C:\WINNT\system32\UTSCSI.EXE
C:\Program Files\Novell\ZENworks\Asset Management\bin\CClient.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\Program Files\Novell\ZENworks\Asset Management\bin\TSUsage32.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\CA\eTrust Antivirus\Realmon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-30 9:05:26 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 08:05:23
Seitenanfang Seitenende
30.01.2008, 09:21
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 1.
lasse die exe überprüfen - kannst du von hier aus einkopieren
http://www.virustotal.com/de/

C:\WINNT\system32\v6.exe

poste hier den Report

----------------------------------------
2.
neue txt erstellen
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccdcca]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrqroo]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqp]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwjk32]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winykm32]
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

««
Poste das log vom HijackThis
http://www.virus-protect.org/hjtkurz.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.01.2008, 09:42
Member

Themenstarter

Beiträge: 11
#11 Moin

die Datei v6.exe kann ich nicht finden scheint so als ob es die nicht gibt!
Aber über msconfig stehen sie noch irgendwie im startup ?!?!?

das log von Combofix

ComboFix 08-01-30.5 -.......... 30.01.2008 9:31:02.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.269 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\user\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\t\

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 ))))))))))))))))))))))))))))))
.

2008-01-30 09:35 . 08-01-30 09:35 0 --a------ C:\WINNT\_delis32.ini
2008-01-24 09:33 . 08-01-24 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\BOM
2007-12-27 10:37 . 07-12-27 10:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Magix Shared
2007-12-27 08:27 . 08-01-16 10:04 178 --a------ C:\WINNT\homeDVD-Fotos5_5_dlx.INI
2007-12-27 08:23 . 07-12-27 08:23 <DIR> d-------- C:\WINNT\system32\MAGIX
2007-12-27 08:23 . 06-02-06 11:38 475,136 --a------ C:\WINNT\system32\mgxoschk.dll
2007-12-27 08:23 . 06-02-06 12:12 3,237 --a------ C:\WINNT\mgxoschk.ini
2007-12-20 14:57 . 07-12-20 14:58 <DIR> d-------- C:\xampp
2007-12-03 08:29 . 08-01-17 13:23 2,238 --a------ C:\WINNT\SecFloader.icon
2007-12-03 08:28 . 07-12-03 08:28 45,056 --a------ C:\WINNT\system32\UTSCSI.EXE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 08:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vulScan
2008-01-29 10:11 --------- d-----w C:\Dokumente und Einstellungen\schoenea\Anwendungsdaten\SolidDocuments
2008-01-23 10:06 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2005-08-11 09:25 271 ---h--w C:\Programme\desktop.ini
2005-08-11 09:25 22,080 ---h--w C:\Programme\folder.htt
2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="ctfmon.exe" [01-02-20 12:09 8192 C:\WINNT\system32\CTFMON.EXE]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-20 13:00 112400 C:\WINNT\system32\mobsync.exe]
"IgfxTray"="C:\WINNT\system32\igfxtray.exe" [05-04-05 20:22 94208]
"HotKeysCmds"="C:\WINNT\system32\hkcmd.exe" [05-04-05 20:19 77824]
"Persistence"="C:\WINNT\system32\igfxpers.exe" [05-04-05 20:23 114688]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [04-10-14 13:42 1404928]
"ZENRC Tray Icon"="C:\WINNT\system32\zentray.exe" [05-05-18 16:04 40960]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [03-06-20 13:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-20 13:00 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{763370C4-268E-4308-A60C-D8DA0342BE32}"= C:\Programme\Novell\ZENworks\NalShell.dll [06-06-28 13:00 446464]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"="ziswin.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NetIdentity Notification]
C:\WINNT\system32\Novell\XtNotify.dll 06-05-02 08:17 24576 C:\WINNT\system32\Novell\xtnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 05-05-20 11:51 8704 C:\WINNT\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EVENTLISTENER]
C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 04-04-17 12:41 196608 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syswin]
C:\WINNT\system32\v6.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VaCtrls]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{C9A8B579-0BB0-1031-0524-050311200031}]
C:\Programme\Gemeinsame Dateien\{C9A8B579-0BB0-1031-0524-050311200031}\Update.exe

R1 Dlc;DLC-Protokoll;C:\WINNT\system32\DRIVERS\dlc.sys [03-06-20 13:00 ]
R2 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" [07-09-20 23:29 ]
R2 BlankScr;HBDevice;C:\WINNT\system32\drivers\BlankScr.sys [05-05-23 13:47 ]
R2 CBA8;LANDesk(R) Management Agent;"C:\Programme\LANDesk\Shared Files\residentagent.exe" [05-11-22 14:07 ]
R2 Remote Management Agent;Novell ZENworks-Fernverwaltungsagent;C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe [06-05-09 09:59 ]
R2 Softmon;LANDesk(R) Software Monitoring Service;"C:\Programme\LANDesk\LDClient\softmon.exe" [05-12-09 02:59 ]
R2 TSCensus Collection Client;ZENworks Asset Management - Collection Client;"C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe" [06-05-22 09:27 ]
R2 WNTHW;WNTHW;C:\WINNT\system32\DRIVERS\WNTHW.SYS [01-03-20 09:55 ]
R2 XTAgent;Novell XTier Agent Services;C:\WINNT\System32\Novell\XTAgent.exe [06-05-02 08:17 ]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINNT\system32\DRIVERS\avmbtpar.sys [04-08-23 01:00 ]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINNT\system32\DRIVERS\avmbtser.sys [04-08-23 01:00 ]
R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINNT\system32\drivers\avmbtsnd.sys [04-08-23 01:00 ]
R3 Darpan;Darpan;C:\WINNT\system32\DRIVERS\Darpan.sys [05-05-23 13:11 ]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 11:05 ]
S2 XAMPP;XAMPP Service;D:\Programme\xampp\service.exe []
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmcowan.sys [04-08-23 01:00 ]
S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINNT\system32\DRIVERS\bfhubase.sys [04-08-23 01:00 ]
S3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINNT\system32\DRIVERS\capi_cip.sys [04-08-23 01:00 ]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINNT\system32\DRIVERS\netbfpan.sys [04-08-23 01:00 ]
S3 OracleDEFAULT_HOMEClientCache80;OracleDEFAULT_HOMEClientCache80;D:\orant\BIN\ONRSD80.EXE [04-02-27 15:51 ]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;D:\oracle\ora81\BIN\ONRSD.EXE [00-10-19 10:55 ]
S3 pmxscan;USB Flatbed Scanner Driver;C:\WINNT\system32\DRIVERS\usbscan.sys [99-10-13 14:19 ]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 09:35:22
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINNT\system32\winlogon.exe
-> C:\WINNT\system32\xmlparse.dll

PROCESS: C:\WINNT\Explorer.EXE [5.00.3700.6690]
-> C:\Programme\Novell\ZENworks\NLS\deutsch\NalUIRes.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINNT\System32\Novell\XTAgent.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\xampp\apache\bin\apache.exe
D:\Programme\PCAnywhere 11.5\awhost32.exe
C:\Programme\LANDesk\Shared Files\residentagent.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\hidserv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\LANDesk\LDClient\LocalSch.EXE
C:\WINNT\system32\CBA\pds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINNT\system32\regsvc.exe
D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\Programme\LANDesk\LDClient\softmon.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe
C:\WINNT\system32\UTSCSI.EXE
C:\Program Files\Novell\ZENworks\Asset Management\bin\CClient.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\CA\eTrust Antivirus\Realmon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-30 9:37:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 08:36:58
ComboFix2.txt 2008-01-30 08:05:26

hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:43:26, on 30.01.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Novell\XTAgent.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\xampp\apache\bin\apache.exe
D:\Programme\PCAnywhere 11.5\awhost32.exe
C:\Programme\LANDesk\Shared Files\residentagent.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\LANDesk\LDClient\LocalSch.EXE
C:\WINNT\system32\CBA\pds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINNT\system32\regsvc.exe
D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\Programme\LANDesk\LDClient\softmon.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe
C:\WINNT\system32\UTSCSI.EXE
C:\Program Files\Novell\ZENworks\Asset Management\bin\CClient.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\WINNT\Explorer.EXE
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINNT\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\CA\eTrust Antivirus\Realmon.exe
C:\WINNT\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
D:\orant\BIN\ifrun60.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
L:\Tools\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = gmhedsproxy:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programme\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINNT\system32\zentray.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Echzeitüberwachung.lnk = C:\Programme\CA\eTrust Antivirus\Realmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187853967731
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = gmh-master.gmh.de
O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\SQLNAV~2\RNetPin.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINNT\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apache2.2 - Unknown owner - c:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - D:\Programme\PCAnywhere 11.5\awhost32.exe
O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Programme\LANDesk\Shared Files\residentagent.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software, Ltd. - C:\Programme\LANDesk\LDClient\LocalSch.EXE
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINNT\system32\CBA\pds.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: OracleDEFAULT_HOMEClientCache80 - Unknown owner - D:\orant\BIN\ONRSD80.EXE
O23 - Service: OracleOraHome81ClientCache - Unknown owner - D:\oracle\ora81\BIN\ONRSD.EXE
O23 - Service: Novell ZENworks-Fernverwaltungsagent (Remote Management Agent) - Novell, Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - D:\Programme\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software, Ltd. - C:\Programme\LANDesk\LDClient\softmon.exe
O23 - Service: ZENworks Asset Management - Collection Client (TSCensus Collection Client) - Novell, Inc. - C:\Program Files\Novell\ZENworks\Asset Management\bin\CClientSvc.exe
O23 - Service: Usbest Service Zero (UTSCSI) - Unknown owner - C:\WINNT\system32\UTSCSI.EXE
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\Programme\xampp\service.exe (file missing)
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINNT\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe



Gruß

Anhang: msconfig.jpg
Seitenanfang Seitenende
30.01.2008, 10:11
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 lasse die exe überprüfen - kannst du von hier aus einkopieren
http://www.virustotal.com/de/

C:\WINNT\system32\v6.exe


poste hier den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.01.2008, 10:27
Member

Themenstarter

Beiträge: 11
#13 Hallo

es gibt diese Datei nicht oder ich finde sie nicht im angegebenen Ordner!
Habe auch alle Dateien und Ordner sichtbar gemacht!

Gruß
Seitenanfang Seitenende
30.01.2008, 12:00
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 ««
wende smitfraudfix an - im normalmodus + poste den Report
http://www.virus-protect.org/artikel/tools/smitfrautfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.01.2008, 13:45
Member

Themenstarter

Beiträge: 11
#15 Hier das Log:

SmitFraudFix v2.277

Scan done at 13:43:52,04, Mi 30.01.2008
Run from L:\Tools\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme Gigabit Ethernet Driver
DNS Server Search Order: 172.16.16.36
DNS Server Search Order: 172.16.16.34
DNS Server Search Order: 172.16.0.21

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.0.21 172.16.0.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D4825313-32D8-424C-8864-B2409F3C31FD}: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.21 172.16.0.3
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=172.16.16.36 172.16.16.34 172.16.0.21


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="ziswin.exe"
"GMH-SYSTEMS"="GMH-Systems.intern"


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »