TR/Vundo.Gen C:\WINDOWS\system32\qomkk.dll - SysKontroller

#0
04.03.2008, 21:41
Member

Beiträge: 32
#1 Hallo,
ich habe den Trojaner TR/Vundo.Gen auf meinem PC. Kann mir jemand helfen?
Verzeichnis von c:\

03.03.2008 14:21 0 dirdat.txt
03.03.2008 12:02 196 ASWL2K.ini
03.03.2008 11:46 402.653.184 pagefile.sys
29.02.2008 15:07 187 VundoFix.txt
22.02.2008 18:57 1.176 IWATCH.CAP
08.02.2008 09:14 85.504 drmv2lic.bak
06.02.2008 21:25 432 temp.txt
14.01.2008 11:17 19.456 netz.doc

22 Datei(en) 403.149.593 Bytes
0 Verzeichnis(se), 10.350.219.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC02-AD5E

Verzeichnis von C:\WINDOWS\system32

22.03.2014 07:25 1.025 l34501.sys
03.03.2008 14:21 141.177 kkmoq.ini
03.03.2008 14:21 141.177 kkmoq.ini2

03.03.2008 11:50 12.612 wpa.dbl
01.03.2008 17:27 380.486 perfh009.dat
01.03.2008 17:27 52.900 perfc009.dat
01.03.2008 17:27 391.330 perfh007.dat
01.03.2008 17:27 63.778 perfc007.dat
01.03.2008 17:27 897.954 PerfStringBackup.INI
01.03.2008 17:22 270.984 FNTCACHE.DAT
29.02.2008 18:54 138.648 TZLog.log
28.02.2008 20:10 294 gkowprdj.ini
26.02.2008 20:44 354 tvxmlyqo.ini
26.02.2008 19:56 14.336 svchost.exe
22.02.2008 15:17 1.253.935 qlutuedt.ini
22.02.2008 14:56 16 dc02bf7f
22.02.2008 13:41 314.896 qomkk.dll
21.02.2008 19:29 26.048 efcccyv.dll
21.02.2008 19:29 26.048 urqqpqo.dll_old

04.02.2008 15:09 18.214.008 MRT.exe
07.12.2007 15:36 3.080.192 mshtml.dll
07.12.2007 02:06 665.088 wininet.dll
07.12.2007 02:06 474.624 shlwapi.dll
07.12.2007 02:06 617.472 urlmon.dll
07.12.2007 02:06 1.494.528 shdocvw.dll

Verzeichnis von C:\WINDOWS

03.03.2008 14:12 4.901 setupact.log
03.03.2008 14:00 1.315.054 WindowsUpdate.log
03.03.2008 11:59 313.215 setupapi.log
03.03.2008 11:47 159 wiadebug.log
03.03.2008 11:47 50 wiaservc.log
03.03.2008 11:47 0 0.log
02.03.2008 16:50 32.540 SchedLgU.Txt
29.02.2008 19:03 150.585 iis6.log
29.02.2008 19:03 386.320 tsoc.log
29.02.2008 19:03 48.909 ocmsn.log
29.02.2008 19:03 1.374 imsins.log
29.02.2008 19:03 202.874 ntdtcsetup.log
29.02.2008 19:03 330.992 comsetup.log
29.02.2008 19:03 37.007 KB927779.log
29.02.2008 19:03 497.364 ocgen.log
29.02.2008 19:03 50.046 msgsocm.log
29.02.2008 19:03 960.240 FaxSetup.log
29.02.2008 19:03 40.571 updspapi.log
29.02.2008 19:03 1.374 imsins.BAK
29.02.2008 19:03 33.822 KB927802.log
29.02.2008 17:57 377 nsw.log
28.02.2008 20:08 1.268 BMdf319e6d.txt
28.02.2008 20:07 22 pskt.ini
28.02.2008 20:07 99.651 BMdf319e6d.xml
27.02.2008 20:16 31.054 spupdsvc.log
27.02.2008 20:07 289.536 msxml4-KB936181-enu.LOG
24.02.2008 19:21 1.081.967 setupapi.log.0.old
24.02.2008 19:07 4.270 OEWABLog.txt
24.02.2008 18:15 229 wininit.ini
23.02.2008 12:55 2.551 unins000.dat
23.02.2008 12:34 691.545 unins000.exe

22.02.2008 19:11 319 homeDVD-Fotos5.INI
315 Datei(en) 18.843.685 Bytes
0 Verzeichnis(se), 10.350.428.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC02-AD5E

Verzeichnis von C:\DOKUME~1\Frerich\LOKALE~1\Temp

03.03.2008 12:05 16.384 ~DFD5A8.tmp
23.02.2008 11:15 16.384 ~DF49BC.tmp
23.02.2008 11:15 512 ~DF2F5E.tmp
23.02.2008 11:15 16.384 ~DF2F46.tmp
22.02.2008 19:02 615 {AC76BA86-7AD7-1031-7B44-A81200000003}.ini
22.02.2008 18:59 833 {AC76BA86-7AD7-1031-7B44-A81000000003}.ini
21.02.2008 20:49 0 uttBDB.tmp
20.02.2008 19:18 98.304 ~DF78A2.tmp
17.02.2008 15:33 616.985 upd54F.tmp.exe
17.02.2008 11:51 139.264 tem169.tmp.exe
17.02.2008 11:51 616.985 tem165.tmp.exe
17.02.2008 11:50 15.685 pmi160.tmp.png

16.02.2008 19:57 271 wecerr.txt
16.02.2008 11:14 15.685 pmi2D0.tmp.png
07.02.2008 14:47 1.049 TWAIN.LOG
07.02.2008 14:45 3 Twain001.Mtx
07.02.2008 14:45 156 Twunk001.MTX
01.02.2008 17:41 113.408 wed10F.tmp_pk
01.02.2008 12:34 24.832 wed52.tmp_pk
01.02.2008 12:33 22.528 wed51.tmp_pk
01.02.2008 11:55 318.720 wed38.tmp_pk
01.02.2008 11:53 96.000 wed37.tmp_pk
01.02.2008 11:52 53.760 wed36.tmp_pk
01.02.2008 11:51 98.816 wed35.tmp_pk
31.01.2008 23:49 75.264 wed5D.tmp_pk
31.01.2008 23:46 73.984 wed5C.tmp_pk
31.01.2008 23:44 203.264 wed5A.tmp_pk
31.01.2008 23:42 114.944 wed59.tmp_pk
31.01.2008 23:40 53.248 wed58.tmp_pk
31.01.2008 23:39 36.864 wed57.tmp_pk
31.01.2008 23:39 44.032 wed56.tmp_pk
31.01.2008 23:38 37.888 wed55.tmp_pk
31.01.2008 23:38 63.744 wed54.tmp_pk
31.01.2008 23:37 32.768 wed53.tmp_pk
31.01.2008 23:35 50.944 wed50.tmp_pk
31.01.2008 23:33 338.688 wed4F.tmp_pk
31.01.2008 23:29 24.576 wed4E.tmp_pk
31.01.2008 23:29 42.496 wed4D.tmp_pk
31.01.2008 23:28 28.928 wed4B.tmp_pk
31.01.2008 23:26 174.592 wed49.tmp_pk
31.01.2008 23:26 20.480 wed48.tmp_pk
31.01.2008 23:24 24.080 wed47.wpk
31.01.2008 23:24 33.536 wed47.tmp_pk
31.01.2008 23:24 14.160 wed46.wpk
31.01.2008 23:24 19.712 wed46.tmp_pk
31.01.2008 23:23 27.136 wed43.tmp_pk
31.01.2008 23:22 26.368 wed42.tmp_pk
31.01.2008 23:02 596.992 wed34.tmp_pk
31.01.2008 22:57 481.792 wed31.tmp_pk
31.01.2008 22:54 22.016 wed30.tmp_pk
31.01.2008 22:53 22.784 wed2F.tmp_pk
31.01.2008 22:52 471.296 wed2E.tmp_pk
31.01.2008 22:49 22.784 wed2D.tmp_pk
31.01.2008 22:49 10.496 wed2C.tmp_pk
31.01.2008 22:47 29.952 wed28.tmp_pk
31.01.2008 22:46 7.168 wed27.tmp_pk
31.01.2008 22:45 46.080 wed26.tmp_pk
28.01.2008 18:22 78.080 wedAF.tmp_pk
25.01.2008 13:26 15.685 pmi1A6.tmp.png
02.01.2008 15:15 21.768 PQGP9X4S.htm
02.01.2008 15:10 22.047 XAXG1D22.htm
02.01.2008 15:08 140.454 O8YNCDHM.htm
02.01.2008 15:08 72.272 UADVL72Y.emf

85 Datei(en) 8.943.037 Bytes
0 Verzeichnis(se), 10.350.424.064 Bytes frei
Seitenanfang Seitenende
05.03.2008, 00:35
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo Uda,

1.
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein: (ohne "Zitat" )

Zitat

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt
der Texteditor wird sich öffnen - poste hier den Text komplett.


____________________________________________________

2.
öffne: OTMoveIt.exe
http://www.virus-protect.org/artikel/tools/otmoveIt.html
Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\uttBDB.tmp
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\upd54F.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\tem169.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\tem165.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\pmi160.tmp.png
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\l34501.sys
C:\WINDOWS\system32\kkmoq.ini
C:\WINDOWS\system32\kkmoq.ini2
C:\WINDOWS\system32\gkowprdj.ini
C:\WINDOWS\system32\tvxmlyqo.ini
C:\WINDOWS\system32\qlutuedt.ini
C:\WINDOWS\system32\dc02bf7f
C:\WINDOWS\system32\qomkk.dll
C:\WINDOWS\system32\efcccyv.dll
C:\WINDOWS\system32\urqqpqo.dll_old
Klicke auf den Roten MoveIt!

Wenn das Tool fertig ist wird ein Log erstellt (*******_******.log *steht für Datum und Zeit

In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


--------------

3.
wende Combofix an + poste hier den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.03.2008, 08:38
Member

Themenstarter

Beiträge: 32
#3 Hallo,
ich habe Combofix angewendet. Antivir meldet keinen Virus mehr. Hoffe das hat geholfen.

File/Folder Volume in Laufwerk C: hat keine Bezeichnung. not found.
File/Folder Volumeseriennummer: DC02-AD5E not found.
File/Folder not found.
File/Folder Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$ not found.
File/Folder not found.
File/Folder 2001-08-18 13:00 12,800 svchost.exe not found.
File/Folder 1 Datei(en) 12,800 Bytes not found.
File/Folder not found.
File/Folder Verzeichnis von c:\WINDOWS\ServicePackFiles\i386 not found.
File/Folder not found.
File/Folder 2004-08-03 23:58 14,336 svchost.exe not found.
File/Folder 1 Datei(en) 14,336 Bytes not found.
File/Folder not found.
File/Folder Verzeichnis von c:\WINDOWS\system32 not found.
File/Folder not found.
File/Folder 2008-02-26 19:56 14,336 svchost.exe not found.
File/Folder 1 Datei(en) 14,336 Bytes not found.
File/Folder not found.
File/Folder Verzeichnis von c:\WINDOWS\system32\dllcache not found.
File/Folder not found.
File/Folder 2008-02-26 19:56 14,336 svchost.exe not found.
File/Folder 1 Datei(en) 14,336 Bytes not found.
File/Folder not found.
File/Folder Anzahl der angezeigten Dateien: not found.
File/Folder 4 Datei(en) 55,808 Bytes not found.
File/Folder 0 Verzeichnis(se), 11,313,606,656 Bytes frei not found.

OTMoveIt2 v1.0.20 log created on 03052008_083041


Report von Combofix:

ComboFix 08-03-04.3 - Uda 2008-03-04 22:28:32.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.185 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Uda\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XG4D9DHU\ComboFix[1].exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
ADS - svchost.exe: deleted 88 bytes in 2 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\delfin
C:\Programme\myglobalsearch
C:\Programme\myglobalsearch\bar\2.bin\M9FFXTBR.JAR
C:\Programme\myglobalsearch\bar\2.bin\M9FFXTBR.MANIFEST
C:\Programme\myglobalsearch\bar\2.bin\M9NTSTBR.JAR
C:\Programme\myglobalsearch\bar\2.bin\M9NTSTBR.MANIFEST
C:\Programme\myglobalsearch\bar\2.bin\M9PLUGIN.DLL
C:\Programme\myglobalsearch\bar\2.bin\MGSBAR.DLL
C:\Programme\myglobalsearch\bar\2.bin\NPMYGLSH.DLL
C:\Programme\webhancer
C:\WINDOWS\BMdf319e6d.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\kkmoq.ini
C:\WINDOWS\system32\kkmoq.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qlutuedt.ini
C:\WINDOWS\system32\qomkk.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-05 bis 2008-03-05 ))))))))))))))))))))))))))))))
.

2008-03-03 17:09 . 2008-03-03 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-03 14:18 . 2008-03-03 14:18 <DIR> d-------- C:\Programme\CCleaner
2008-02-29 14:56 . 2008-02-29 15:07 <DIR> d-------- C:\VundoFix Backups
2008-02-28 20:10 . 2008-02-28 20:10 294 ---hs---- C:\WINDOWS\system32\gkowprdj.ini
2008-02-27 20:11 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-02-27 20:11 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-02-27 20:11 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-02-27 20:11 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-02-27 20:07 . 2008-02-27 20:07 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-26 22:40 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-02-26 22:40 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-02-26 22:40 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-02-26 22:40 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-02-26 21:51 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2008-02-26 19:39 . 2008-02-26 20:44 354 ---hs---- C:\WINDOWS\system32\tvxmlyqo.ini
2008-02-24 18:12 . 2008-02-24 18:15 229 --a------ C:\WINDOWS\wininit.ini
2008-02-23 12:55 . 2008-02-23 12:34 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-23 12:55 . 2008-02-23 12:55 2,551 --a------ C:\WINDOWS\unins000.dat
2008-02-22 19:53 . 2008-02-23 09:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SysKontroller
2008-02-22 19:53 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-02-22 19:49 . 2008-02-22 19:49 262,160 --a------ C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\setup_de[1].exe
2008-02-22 19:13 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-02-22 18:57 . 2008-02-22 18:57 1,176 --a------ C:\IWATCH.CAP
2008-02-22 14:56 . 2008-02-22 14:56 16 --a------ C:\WINDOWS\system32\dc02bf7f
2008-02-21 19:29 . 2008-02-21 19:29 26,048 --------- C:\WINDOWS\system32\urqqpqo.dll_old
2008-02-21 19:29 . 2008-02-21 19:29 26,048 --a------ C:\WINDOWS\system32\efcccyv.dll
2008-02-21 15:18 . 2008-02-21 15:18 <DIR> d---s---- C:\Dokumente und Einstellungen\Frerich\UserData
2008-02-17 11:51 . 2008-03-04 21:18 <DIR> d-------- C:\Programme\BrowsingEnhancer
2008-02-14 19:54 . 2008-02-24 16:21 <DIR> d-------- C:\My Downloads
2008-02-10 13:01 . 2008-02-21 19:47 <DIR> d-------- C:\WINDOWS\system32\Harry Potter im Hoerverlag dir
2008-02-06 21:24 . 2008-02-06 21:24 <DIR> d-------- C:\Temp\E--_01
2008-02-06 21:00 . 2008-02-06 21:11 <DIR> d-------- C:\Temp\E--
2008-02-06 20:59 . 2008-02-09 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\dvdcss
2008-02-06 20:58 . 2005-11-21 06:48 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 07:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-04 16:57 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\BitTorrent DNA
2008-02-26 19:13 --------- d-----w C:\Programme\foobar2000
2008-02-26 19:13 --------- d-----w C:\Programme\Exact Audio Copy
2008-02-26 19:13 --------- d-----w C:\Programme\Disc2Phone
2008-02-26 19:13 --------- d-----w C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\.ABC
2008-02-26 19:13 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\.ABC
2008-02-24 16:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-23 12:15 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-23 11:22 --------- d-----w C:\Programme\ICQToolbar
2008-02-23 11:22 --------- d-----w C:\Programme\HP Photo Idea CD
2008-02-23 11:22 --------- d-----w C:\Programme\hp deskjet 3820 series
2008-02-23 11:22 --------- d-----w C:\Programme\ABC
2008-02-22 19:01 --------- d-----w C:\Programme\Save
2008-02-22 18:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-22 14:43 --------- d-----w C:\Programme\Norton Personal Firewall
2008-02-22 14:43 --------- d-----w C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\BitTorrent
2008-02-22 14:43 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\BitTorrent
2008-02-22 14:43 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\BitTorrent
2008-02-21 16:23 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\foobar2000
2008-02-15 14:00 --------- d-----w C:\Programme\Norton Security Scan
2008-02-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\foobar2000
2008-01-31 16:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-25 13:24 --------- d-----w C:\Programme\7-Zip
2008-01-25 11:16 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\MSN6
2008-01-19 15:37 --------- d-----w C:\Programme\PocketRAR
2008-01-15 13:23 --------- d-----w C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Teleca
2008-01-12 10:57 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Teleca
2008-01-05 12:30 --------- d-----w C:\Programme\BearShare Applications
2006-09-29 17:41 4,096 ----a-w C:\Dokumente und Einstellungen\Uda\log.dat
2002-10-14 15:03 32 --sha-w C:\WINDOWS\{0CC85EA2-A877-45FF-9704-3D6BE9816907}.dat
2002-10-14 15:03 32 --sha-w C:\WINDOWS\system32\{8F01D8ED-3225-422D-8CC0-877EEDB96F37}.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"BitTorrent DNA"="C:\Programme\BitTorrent_DNA\dna.exe" [2007-10-24 18:07 286016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemTray"="SysTray.Exe" [2001-08-18 13:00 3072 C:\WINDOWS\system32\systray.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-01 14:16 249896]
"ccRegVfy"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" [2003-10-09 10:27 58600]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2003-10-09 10:26 54504]
"Control Center"="C:\Programme\ASUS\WLAN Card Utilities\Center.exe" [2006-08-15 14:48 1696256]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-07-06 19:16 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 12:19 68856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ABBYY Community Agent]
--a------ 2001-01-31 15:32 241664 C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Detector]
--a------ 2003-11-04 09:17 208896 C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 23:57 15360 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlexport]
C:\Programme\Windows Media Player\dlexport.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EM_EXEC]
--a------ 2001-12-20 08:42 35328 C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2002-03-28 09:41 188416 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\System32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-07-06 19:16 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-12-20 14:33 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\Winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2001-12-20 00:59 204800 C:\Programme\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"hid_start"=C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"dc02adf1"=rundll32.exe "C:\WINDOWS\system32\tdeutulq.dll",b
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\ABC\\abc.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\BitTorrent_DNA\\dna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Dokumente und Einstellungen\\Matthias\\Programme\\BitTorrent\\BitTorrent.exe"=
"C:\\Programme\\Real\\RealOne Player\\realplay.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-09-20 20:52]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-20 20:52]
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS [2001-12-18 13:45]
R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 18:54]
R3 AVMCOWAN;AVM CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2002-10-11 01:00]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2002-10-11 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2002-10-11 01:00]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 11:13]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2002-10-11 01:00]
R3 gameport;Integra PCI Joystick;C:\WINDOWS\system32\DRIVERS\fmjoy.sys [2001-06-15 00:59]
R3 wdm_fm801;Integra PCI Audio (WDM);C:\WINDOWS\system32\drivers\fm801.sys [2001-08-31 16:30]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 13:26]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 11:14]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 20:34]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-12-03 19:46]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-12-03 19:46]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-12-03 19:46]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-12-03 19:46]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2002-01-11 08:19]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []

.
Inhalt des "geplante Tasks" Ordners
"2008-02-22 16:17:26 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-02-29 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
"2008-03-04 20:30:20 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-05 08:00:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-05 8:05:38 - machine was rebooted [Frerich]
ComboFix-quarantined-files.txt 2008-03-05 07:05:33
.
2008-02-29 18:03:50 --- E O F ---
Seitenanfang Seitenende
05.03.2008, 09:50
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Uda,


SysKontroller System Repairer Downloader
http://www.heise.de/newsticker/meldung/101740
http://www.virus-protect.org/artikel/spyware/syskontroller.html

Alias

* Downloader.Win32.WinFixer.z
* Winfixer
* trojan
* TROJ_DLOADER.JRM

__________________________________________________

für ein Löschlog ist das ziemlich mager ;) - hast nix gelöscht ;)

Zitat

OTMoveIt2 v1.0.20 log created on 03052008_083041
1.
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

SysKontroller

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

____________________________________________________________

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"dc02adf1"=-
"hid_start"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

File::
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\PQGP9X4S.htm
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\XAXG1D22.htm
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\O8YNCDHM.htm
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\UADVL72Y.emf
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\uttBDB.tmp
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\upd54F.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\tem169.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\tem165.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\pmi160.tmp.png
C:\WINDOWS\system32\gzmrotate.dll
C:\WINDOWS\system32\tdeutulq.dll
C:\WINDOWS\system32\gkowprdj.ini
C:\WINDOWS\system32\tvxmlyqo.ini
C:\WINDOWS\wininit.ini
C:\WINDOWS\unins000.exe
C:\WINDOWS\unins000.dat
C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\setup_de[1].exe
C:\WINDOWS\system32\dc02bf7f
C:\WINDOWS\system32\urqqpqo.dll_old
C:\WINDOWS\system32\efcccyv.dll

Folder::
C:\Programme\BrowsingEnhancer
C:\VundoFix Backups
C:\Programme\Gemeinsame Dateien\SysKontroller

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden



3.
poste den neuen Report von Combofix +
noch mal die Dateien von datfindbat - noch mal anwenden + dirdat.txt posten
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.03.2008, 12:56
Member

Themenstarter

Beiträge: 32
#5 Hallo,

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Syskontroller" 05.03.2008 12:58:45

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

[HKEY_USERS\S-1-5-19\Software\Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_USERS\S-1-5-19\Software\Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

[HKEY_USERS\S-1-5-19_Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_USERS\S-1-5-19_Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

[HKEY_USERS\S-1-5-20\Software\Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_USERS\S-1-5-20\Software\Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

[HKEY_USERS\S-1-5-20_Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_USERS\S-1-5-20_Classes\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

[HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-1011\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-1011\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]

[HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-1011\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SysKontroller\\unins000.exe"="Setup/Uninstall"

[HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-1011\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SysKontroller\\SysRep.exe"="SysRep"

[HKEY_USERS\S-1-5-21-2000478354-1580818891-1708537768-1011\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\SysKontroller\\ucookw.exe"="ucookw"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\syskontroller.com\www]
Seitenanfang Seitenende
05.03.2008, 13:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 o.k.
wende nun bitte das script von Combofix an (genau nach Anleitung) ...und dann poste alles, worum ich noch gebeten habe
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.03.2008, 15:54
Member

Themenstarter

Beiträge: 32
#7 Hallo,
hatte zwischendurch keine Zeit. Poste jetzt combofix.
Hoffe das ist so richtig!!!!

ComboFix 08-03-04.5 - Uda 2008-03-05 13:07:01.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.272 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Uda\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Uda\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\O8YNCDHM.htm
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\pmi160.tmp.png
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\PQGP9X4S.htm
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\tem165.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\tem169.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\UADVL72Y.emf
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\upd54F.tmp.exe
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\uttBDB.tmp
C:\Dokumente und Einstellungen\Frerich\Lokale Einstellungen\Temp\XAXG1D22.htm
C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\setup_de[1].exe
C:\WINDOWS\system32\dc02bf7f
C:\WINDOWS\system32\efcccyv.dll
C:\WINDOWS\system32\gkowprdj.ini
C:\WINDOWS\system32\gzmrotate.dll
C:\WINDOWS\system32\tdeutulq.dll
C:\WINDOWS\system32\tvxmlyqo.ini
C:\WINDOWS\system32\urqqpqo.dll_old
C:\WINDOWS\unins000.dat
C:\WINDOWS\unins000.exe
C:\WINDOWS\wininit.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\setup_de[1].exe
C:\Programme\BrowsingEnhancer
C:\Programme\BrowsingEnhancer\BrowsingEnhancer.dat
C:\Programme\BrowsingEnhancer\pcre3.dll
C:\Programme\BrowsingEnhancer\uninstall.exe
C:\Programme\Gemeinsame Dateien\SysKontroller
C:\VundoFix Backups
C:\VundoFix Backups\addmorefiles.txt
C:\WINDOWS\system32\dc02bf7f
C:\WINDOWS\system32\efcccyv.dll
C:\WINDOWS\system32\gkowprdj.ini
C:\WINDOWS\system32\tvxmlyqo.ini
C:\WINDOWS\system32\urqqpqo.dll_old
C:\WINDOWS\unins000.dat
C:\WINDOWS\unins000.exe
C:\WINDOWS\wininit.ini

.
--------------- FMove ---------------

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-05 bis 2008-03-05 ))))))))))))))))))))))))))))))
.

2008-03-05 08:30 . 2008-03-05 08:30 <DIR> d-------- C:\_OTMoveIt
2008-03-03 17:09 . 2008-03-03 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-03 14:18 . 2008-03-03 14:18 <DIR> d-------- C:\Programme\CCleaner
2008-02-27 20:11 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-02-27 20:11 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-02-27 20:11 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-02-27 20:11 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-02-27 20:07 . 2008-02-27 20:07 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-26 22:40 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-02-26 22:40 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-02-26 22:40 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-02-26 22:40 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-02-26 21:51 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2008-02-22 19:53 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-02-22 19:13 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-02-22 18:57 . 2008-02-22 18:57 1,176 --a------ C:\IWATCH.CAP
2008-02-21 15:18 . 2008-02-21 15:18 <DIR> d---s---- C:\Dokumente und Einstellungen\Frerich\UserData
2008-02-14 19:54 . 2008-02-24 16:21 <DIR> d-------- C:\My Downloads
2008-02-10 13:01 . 2008-02-21 19:47 <DIR> d-------- C:\WINDOWS\system32\Harry Potter im Hoerverlag dir
2008-02-06 21:24 . 2008-02-06 21:24 <DIR> d-------- C:\Temp\E--_01
2008-02-06 21:00 . 2008-02-06 21:11 <DIR> d-------- C:\Temp\E--
2008-02-06 20:59 . 2008-02-09 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\dvdcss
2008-02-06 20:58 . 2005-11-21 06:48 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 12:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-05 07:24 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\BitTorrent DNA
2008-02-26 19:13 --------- d-----w C:\Programme\foobar2000
2008-02-26 19:13 --------- d-----w C:\Programme\Exact Audio Copy
2008-02-26 19:13 --------- d-----w C:\Programme\Disc2Phone
2008-02-26 19:13 --------- d-----w C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\.ABC
2008-02-26 19:13 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\.ABC
2008-02-24 16:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-23 12:15 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-23 11:22 --------- d-----w C:\Programme\ICQToolbar
2008-02-23 11:22 --------- d-----w C:\Programme\HP Photo Idea CD
2008-02-23 11:22 --------- d-----w C:\Programme\hp deskjet 3820 series
2008-02-23 11:22 --------- d-----w C:\Programme\ABC
2008-02-22 19:01 --------- d-----w C:\Programme\Save
2008-02-22 18:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-22 14:43 --------- d-----w C:\Programme\Norton Personal Firewall
2008-02-22 14:43 --------- d-----w C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\BitTorrent
2008-02-22 14:43 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\BitTorrent
2008-02-22 14:43 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\BitTorrent
2008-02-21 16:23 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\foobar2000
2008-02-15 14:00 --------- d-----w C:\Programme\Norton Security Scan
2008-02-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\Uda\Anwendungsdaten\foobar2000
2008-01-31 16:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-25 13:24 --------- d-----w C:\Programme\7-Zip
2008-01-25 11:16 --------- d-----w C:\Dokumente und Einstellungen\Frerich\Anwendungsdaten\MSN6
2008-01-19 15:37 --------- d-----w C:\Programme\PocketRAR
2008-01-15 13:23 --------- d-----w C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Teleca
2008-01-12 10:57 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Teleca
2008-01-05 12:30 --------- d-----w C:\Programme\BearShare Applications
2006-09-29 17:41 4,096 ----a-w C:\Dokumente und Einstellungen\Uda\log.dat
2002-10-14 15:03 32 --sha-w C:\WINDOWS\{0CC85EA2-A877-45FF-9704-3D6BE9816907}.dat
2002-10-14 15:03 32 --sha-w C:\WINDOWS\system32\{8F01D8ED-3225-422D-8CC0-877EEDB96F37}.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 12:19 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemTray"="SysTray.Exe" [2001-08-18 13:00 3072 C:\WINDOWS\system32\systray.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-01 14:16 249896]
"ccRegVfy"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" [2003-10-09 10:27 58600]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2003-10-09 10:26 54504]
"Control Center"="C:\Programme\ASUS\WLAN Card Utilities\Center.exe" [2006-08-15 14:48 1696256]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-07-06 19:16 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 12:19 68856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ABBYY Community Agent]
--a------ 2001-01-31 15:32 241664 C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Detector]
--a------ 2003-11-04 09:17 208896 C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 23:57 15360 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlexport]
C:\Programme\Windows Media Player\dlexport.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EM_EXEC]
--a------ 2001-12-20 08:42 35328 C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2002-03-28 09:41 188416 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\System32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-07-06 19:16 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-12-20 14:33 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\Winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2001-12-20 00:59 204800 C:\Programme\Logitech\iTouch\iTouch.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\ABC\\abc.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\BitTorrent_DNA\\dna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Dokumente und Einstellungen\\Matthias\\Programme\\BitTorrent\\BitTorrent.exe"=
"C:\\Programme\\Real\\RealOne Player\\realplay.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-09-20 20:52]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-20 20:52]
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS [2001-12-18 13:45]
R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 18:54]
R3 AVMCOWAN;AVM CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2002-10-11 01:00]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2002-10-11 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2002-10-11 01:00]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 11:13]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2002-10-11 01:00]
R3 gameport;Integra PCI Joystick;C:\WINDOWS\system32\DRIVERS\fmjoy.sys [2001-06-15 00:59]
R3 wdm_fm801;Integra PCI Audio (WDM);C:\WINDOWS\system32\drivers\fm801.sys [2001-08-31 16:30]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 13:26]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 11:14]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 20:34]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-12-03 19:46]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-12-03 19:46]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-12-03 19:46]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-12-03 19:46]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2002-01-11 08:19]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []

.
Inhalt des "geplante Tasks" Ordners
"2008-02-22 16:17:26 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-02-29 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
"2008-03-05 08:30:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-05 13:15:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-05 13:19:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-05 12:19:35
ComboFix2.txt 2008-03-05 11:48:58
ComboFix3.txt 2008-03-05 07:05:39
.
2008-02-29 18:03:50 --- E O F ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC02-AD5E

Verzeichnis von C:\WINDOWS\system32

2014-03-22 07:25 1,025 l34501.sys
2008-03-05 15:21 12,612 wpa.dbl
2008-03-01 17:27 380,486 perfh009.dat
2008-03-01 17:27 52,900 perfc009.dat
2008-03-01 17:27 391,330 perfh007.dat
2008-03-01 17:27 63,778 perfc007.dat
2008-03-01 17:27 897,954 PerfStringBackup.INI
2008-03-01 17:22 270,984 FNTCACHE.DAT
2008-02-29 18:54 138,648 TZLog.log
2008-02-26 19:56 14,336 svchost.exe
2008-02-04 15:09 18,214,008 MRT.exe
2007-12-07 15:36 3,080,192 mshtml.dll
2007-12-07 02:06 665,088 wininet.dll
2007-12-07 02:06 1,494,528 shdocvw.dll
2007-12-07 02:06 474,624 shlwapi.dll
2007-12-07 02:06 617,472 urlmon.dll
2007-12-07 02:06 532,480 mstime.dll
2007-12-07 02:06 39,424 pngfilt.dll
2007-12-07 02:06 449,024 mshtmled.dll
2007-12-07 02:06 146,432 msrating.dll
2007-12-07 02:06 16,384 jsproxy.dll
2007-12-07 02:06 251,392 iepeers.dll
2007-12-07 02:06 55,808 extmgr.dll
2007-12-07 02:06 205,312 dxtrans.dll
2007-12-07 02:06 357,888 dxtmsft.dll
2007-12-07 02:06 96,768 inseng.dll
2007-12-07 02:06 1,023,488 browseui.dll
2007-12-07 02:06 152,064 cdfview.dll
2007-12-07 02:06 1,056,256 danim.dll
2007-12-07 00:40 373,760 xpsp3res.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC02-AD5E

Verzeichnis von C:\DOKUME~1\Frerich\LOKALE~1\temp
Seitenanfang Seitenende
05.03.2008, 16:01
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Hallo,

lade bitte die exe und die sys und dll hoch - lasse sie prüfen + poste beide reporte
http://www.virustotal.com/de/

beim Suchen, achte darauf, dass die svchost.exe 14,336 gross sein muss , geladen: 2008-02-26 19:56

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\l34501.sys
C:\WINDOWS\system32\atl71.dll



«

2014-03-22 07:25 1,025 l34501.sys - schon allein das Datum.. ;) ..2014.. ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.03.2008, 17:28
Member

Themenstarter

Beiträge: 32
#9 Hallo,
sychost.exe ist 14,00 gross


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.05 -
AntiVir 7.6.0.73 2008.03.05 -
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.05 -
AVG 7.5.0.516 2008.03.05 -
BitDefender 7.2 2008.03.05 -
CAT-QuickHeal 9.50 2008.03.04 -
ClamAV 0.92.1 2008.03.05 -
DrWeb 4.44.0.09170 2008.03.05 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5590 2008.03.05 -
Ewido 4.0 2008.03.05 -
FileAdvisor 1 2008.03.05 -
Fortinet 3.14.0.0 2008.03.05 -
F-Prot 4.4.2.54 2008.03.04 -
F-Secure 6.70.13260.0 2008.03.05 -
Ikarus T3.1.1.20 2008.03.05 -
Kaspersky 7.0.0.125 2008.03.05 -
McAfee 5244 2008.03.04 -
Microsoft 1.3301 2008.03.05 -
NOD32v2 2923 2008.03.05 -
Norman 5.80.02 2008.03.05 -
Panda 9.0.0.4 2008.03.04 -
Prevx1 V2 2008.03.05 -
Rising 20.34.22.00 2008.03.05 -
Sophos 4.27.0 2008.03.05 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.05 -
TheHacker 6.2.92.233 2008.03.04 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.05 -
Webwasher-Gateway 6.6.2 2008.03.05 -
weitere Informationen

C:\WINDOWS\system32\atl71.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.05 -
AntiVir 7.6.0.73 2008.03.05 -
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.05 -
AVG 7.5.0.516 2008.03.05 -
BitDefender 7.2 2008.03.05 -
CAT-QuickHeal 9.50 2008.03.04 -
ClamAV 0.92.1 2008.03.05 -
DrWeb 4.44.0.09170 2008.03.05 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5590 2008.03.05 -
Ewido 4.0 2008.03.05 -
FileAdvisor 1 2008.03.05 -
Fortinet 3.14.0.0 2008.03.05 -
F-Prot 4.4.2.54 2008.03.04 -
F-Secure 6.70.13260.0 2008.03.05 -
Ikarus T3.1.1.20 2008.03.05 -
Kaspersky 7.0.0.125 2008.03.05 -
McAfee 5244 2008.03.04 -
Microsoft 1.3301 2008.03.05 -
NOD32v2 2923 2008.03.05 -
Norman 5.80.02 2008.03.05 -
Panda 9.0.0.4 2008.03.04 -
Prevx1 V2 2008.03.05 -
Rising 20.34.22.00 2008.03.05 -
Sophos 4.27.0 2008.03.05 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.05 -
TheHacker 6.2.92.233 2008.03.04 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.05 -
Webwasher-Gateway 6.6.2 2008.03.05 -
weitere Informationen
File size: 89088 bytes

C:\WINDOWS\system32\l34501.sys konnte ich nicht finden

AntiVir findet jetzt den TR/Trash.Gen
C:\System Volume Information\_restore{CB9F1BCB-F940-4942-A194-2CA18C3B824C}\RP9\A0002068.dll'
Dieser Beitrag wurde am 05.03.2008 um 19:01 Uhr von Uda editiert.
Seitenanfang Seitenende
05.03.2008, 19:05
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 ««
2008-02-26 19:56 14,336 svchost.exe - suche diese exe und lade sie hoch
http://www.virustotal.com/de/

««
Avenger
http://virus-protect.org/artikel/tools/avenger1.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\l34501.sys
poste nach neustart den report

»»
scanne + poste den scanreport
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.03.2008, 20:12
Member

Themenstarter

Beiträge: 32
#11 Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.05 -
AntiVir 7.6.0.73 2008.03.05 -
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.05 -
AVG 7.5.0.516 2008.03.05 -
BitDefender 7.2 2008.03.05 -
CAT-QuickHeal 9.50 2008.03.04 -
ClamAV 0.92.1 2008.03.05 -
DrWeb 4.44.0.09170 2008.03.05 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5590 2008.03.05 -
Ewido 4.0 2008.03.05 -
FileAdvisor 1 2008.03.05 -
Fortinet 3.14.0.0 2008.03.05 -
F-Prot 4.4.2.54 2008.03.04 -
F-Secure 6.70.13260.0 2008.03.05 -
Ikarus T3.1.1.20 2008.03.05 -
Kaspersky 7.0.0.125 2008.03.05 -
McAfee 5244 2008.03.04 -
Microsoft 1.3301 2008.03.05 -
NOD32v2 2923 2008.03.05 -
Norman 5.80.02 2008.03.05 -
Panda 9.0.0.4 2008.03.04 -
Prevx1 V2 2008.03.05 -
Rising 20.34.22.00 2008.03.05 -
Sophos 4.27.0 2008.03.05 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.05 -
TheHacker 6.2.92.233 2008.03.04 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.05 -
Webwasher-Gateway 6.6.2 2008.03.05 -
weitere Informationen
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3
PEiD: -

Kann nur svchost.exe mit 14,0 KB finden

Meldet bei Avenger einen Fehler wenn ich
Files to delete:
C:\WINDOWS\system32\l34501.sys eingebe.
Error: Invalid script. A valid script must begin with a command directive.
Dieser Beitrag wurde am 05.03.2008 um 20:27 Uhr von Uda editiert.
Seitenanfang Seitenende
05.03.2008, 23:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 Hallo
-----------
hast du eingegeben:

Files to delete:
C:\WINDOWS\system32\l34501.sys
??? oder nur die sys allein ???


kopiere bittte mal das in den avenger + berichte

Zitat

drivers to unload:
l34501

ansonsten, versuche es mit dem Killer
http://www.virus-protect.org/artikel/tools/gvkiller.html

Zitat

C:\WINDOWS\system32\l34501.sys
oder lösche die C:\WINDOWS\system32\l34501.sys im abgesicherten Modus ! - manuell.

--------------
««
scanne + poste den scanreport
http://virus-protect.org/artikel/tools/malwarebytes.html



dann
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
06.03.2008, 12:29
Member

Themenstarter

Beiträge: 32
#13 Hallo;
Habe jetzt
drivers to unload: l34501 eingegeben. Das hat geklappt. Weiß aber nicht welchen Bericht ich in den Avenger kopieren sollte.

scanreport

Malwarebytes' Anti-Malware 1.07
Datenbank Version: 461

Scan Art: Schnell Scan
Objekte gescannt: 31988
Scan Dauer: 5 minute(s), 37 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{81b7f2df-3427-4704-b441-f74a4de94ce1} (Adware.rightonadz) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4438a5dc-e00b-41a0-b0e6-b63fd3b86eee} (Adware.Delphinmediaviewer) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\HID_Layer (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\mp.mediapops (Adware.Delphinmediaviewer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> No action taken.

Infizierte Dateien:
C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\store.db (Adware.WhenUSave) -> No action taken.

Darf ich die diese vernichten???
Dieser Beitrag wurde am 06.03.2008 um 12:32 Uhr von Uda editiert.
Seitenanfang Seitenende
06.03.2008, 12:48
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 «
scane noch mal Malwarebytes' - dann auf "alles entfernen" klicken, das Proggie löscht ;) No action taken. ist nicht angebracht...

«
in den avenger kopieren- poste nach neustart den report

Zitat

drivers to unload:
l34501

Files to delete:
C:\WINDOWS\system32\l34501.sys

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
07.03.2008, 11:16
Member

Themenstarter

Beiträge: 32
#15 Hallo,

//////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Thu Mar 06 08:11:55 2008

08:11:55: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\l34501" not found!
Deletion of driver "l34501" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Abort!
Seitenanfang Seitenende