Virus Alert in der Taskleiste!!! |
||
---|---|---|
#0
| ||
21.07.2008, 16:28
...neu hier
Beiträge: 4 |
||
|
||
21.07.2008, 16:52
Moderator
Beiträge: 7805 |
#2
Hallo Ascot123,
Arbeite bitte noch die Punkte 1-3 aus diesem Thread ab: http://board.protecus.de/t23187.htm Allerdings ist bei dir schon so zu sehen, das du einen DNS Changer hast, welcher u.a. Rootkitfunktionalitaet besitzt und deine "Anfragen ins Internet" auf einen Boesen DNS Server leitet, der dich was weiss ich wwohin schicken koennte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.07.2008, 17:34
...neu hier
Themenstarter Beiträge: 4 |
#3
Danke für die schnelle Antwort.
Genügt bei Malewarebytes der Qickscan? Die Posts kommen in ca, 1er Stunde. |
|
|
||
21.07.2008, 17:44
Moderator
Beiträge: 7805 |
#4
Komplett waere besser, aber quickscan reicht auch erstmal. Lasse alle funde bereinigen...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.07.2008, 17:58
...neu hier
Themenstarter Beiträge: 4 |
#5
So habe Schritt 1 bis 3 ausgefüht.
Hier der Log von Combofix: ComboFix 08-07-20.A0 - Administrator 2008-07-21 17:33:37.1 - NTFSx86 NETWORK Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.237 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\fhhklnnn.ini C:\WINDOWS\system32\fhhklnnn.ini2 C:\WINDOWS\system32\msiesetup.exe C:\WINDOWS\system32\nnnlkhhf.dll C:\WINDOWS\system32\packet.dll C:\WINDOWS\system32\pthreadVC.dll C:\WINDOWS\system32\qoMcdCRI.dll C:\WINDOWS\system32\WanPacket.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-06-21 bis 2008-07-21 )))))))))))))))))))))))))))))) . 2008-07-21 17:39 . 2008-07-21 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Gast!\Anwendungsdaten\Malwarebytes 2008-07-21 17:06 . 2008-07-21 17:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-21 17:06 . 2008-07-21 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-21 17:06 . 2008-07-21 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-07-21 17:06 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-21 17:06 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-21 16:07 . 2008-07-21 16:08 <DIR> d-------- C:\Programme\CCleaner 2008-07-21 16:04 . 2008-07-21 16:04 1,910 --a------ C:\WINDOWS\system32\tmp.reg 2008-07-21 16:00 . 2008-07-21 16:00 <DIR> d-------- C:\Programme\Trend Micro 2008-07-20 00:59 . 2008-07-20 00:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-07-20 00:59 . 2008-07-20 00:59 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-21 15:40 25,070,112 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-21 15:39 987,680 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-07-21 15:03 99,836 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-07-21 15:03 344,048 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-07-21 14:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-07-12 13:06 --------- d-----w C:\Dokumente und Einstellungen\Gast!\Anwendungsdaten\ICQ 2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-05-29 17:13 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-05-29 17:13 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-05-29 17:13 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-03-21 19:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 17:25 94208] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 04:06 7311360] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 04:06 86016] "Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 09:57 143360] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376] "nwiz"="nwiz.exe" [2005-12-10 04:06 1519616 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sitecom WLAN Client Utility.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sitecom WLAN Client Utility.lnk backup=C:\WINDOWS\pss\Sitecom WLAN Client Utility.lnkCommon Startup HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme\1&1 HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme\1&1\1&1 EasyLogin [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] 1&1 EasyLogin HIDE [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center] --a------ 2005-09-16 15:57 1668096 C:\Programme\ASUS\WLAN Card Utilities\Center.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Meine Traffic] --a------ 2004-11-22 15:00 343552 C:\PROGRA~1\MT\MT.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-08-01 17:32 155648 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2005-10-26 16:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2007-06-08 21:23 1259000 D:\Steam\steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "D:\\Steam\\SteamApps\\lunikoff15\\counter-strike\\hl.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "67:UDP"= 67:UDPHCP Discovery Service R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 20:54] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58] S3 Belkin700F;Belkin Wireless G Desktop Card Service v7;C:\WINDOWS\system32\DRIVERS\BLKWGDv7.sys [2006-10-19 11:44] S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12] S3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\Gast!\Desktop\AIRCRA~1.1-W\AIRCRA~1.1\bin\PEEK5.SYS [] S3 pfsvgae;pfsvgae;C:\DOKUME~1\Thomas\LOKALE~1\Temp\pfsvgae.sys [] S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - MSConfigStartUp-AVGCtrl - C:\Programme\AVPersonal\AVGNT.EXE MSConfigStartUp-BDAgent - C:\Programme\Softwin\BitDefender10\bdagent.exe MSConfigStartUp-BDMCon - C:\Programme\Softwin\BitDefender10\bdmcon.exe MSConfigStartUp-BearShare - C:\Programme\BearShare\BearShare.exe MSConfigStartUp-ICQ Lite - C:\Programme\ICQLite\ICQLite.exe MSConfigStartUp-SmcService - C:\PROGRA~1\Sygate\SPF\smc.exe . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-21 17:39:15 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ASWLSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ASWL2K.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Belkin\PCI F5D700F\Wireless Utility\Belkinwcui.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-21 17:43:43 - machine was rebooted [Gast!] ComboFix-quarantined-files.txt 2008-07-21 15:43:33 Pre-Run: 14 Verzeichnis(se), 15,487,156,224 Bytes frei Post-Run: 16 Verzeichnis(se), 16,869,347,328 Bytes frei 164 --- E O F --- 2008-07-09 08:12:04 Die Meldung Virus Alert ist jtzt weg und der PC funktioniert wieder. Es wird wieder alles angezeigt. Wars das oder muss ich noch etwas anderes machen? |
|
|
||
21.07.2008, 18:26
Moderator
Beiträge: 7805 |
#6
Ich denke das passt, aber poste trotzdem bitte noch ein aktuelles Hijackthis log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.07.2008, 18:31
...neu hier
Themenstarter Beiträge: 4 |
#7
Alles klar.
Ich lasse gerade mit Malewarebytes nen Langen Scan durchlaufen. Wenn das fertig ist werde ich dir den Hijack Post schicken. Ich danke dir schon mal fuer alles. |
|
|
||
Seit heute morgen erscheint rechts in der Taskleiste Virus Alert.
Habe mich bereits in Foren umgeschaut und verschiedene Möglichkeiten ausprobiert!
Hijack, CCleaner, Spayfalcon und kapserskyfilterlist.ini habe ich bereits ohne Erfolg getestet.
Zur Veranschaulichung postet ich euch hier mal meinen Hijack log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:30, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: qndsfmao - {F4A52746-813B-4276-A8D7-E2ABD0C8C8A8} - C:\WINDOWS\qndsfmao.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Belkin Wireless G Desktop Card Client Utility.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: evgratsm - {7289E2D0-D765-471B-AC79-F293D5286662} - C:\WINDOWS\evgratsm.dll
O21 - SSODL: kvxqmtre - {007C9518-B379-45AD-89FE-964F6241B54A} - C:\WINDOWS\kvxqmtre.dll
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 5746 bytes
SmitFraudFix v. 2.330
rapport log :
SmitFraudFix v2.330
Scan done at 16:04:18,85, 21.07.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\kgxmotaptbp.dll deleted.
C:\WINDOWS\qndsfmao.dll deleted.
C:\WINDOWS\evgratsm.dll deleted.
C:\WINDOWS\kvxqmtre.dll deleted.
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8B3C6E82-7661-4014-B4F7-54A301BA4EF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F14692E4-57AE-4825-BA96-23F9FE5AD649}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8B3C6E82-7661-4014-B4F7-54A301BA4EF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F14692E4-57AE-4825-BA96-23F9FE5AD649}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8B3C6E82-7661-4014-B4F7-54A301BA4EF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F14692E4-57AE-4825-BA96-23F9FE5AD649}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.34 85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.34 85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.114.34 85.255.112.9
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End